Android

Polícia alemã: falha na autenticação de dois fatores

TUTORIAL:COMO CORRIGIR ERRO DE AUTENTICAÇÃO DE DOIS FATORES NO FORTNITE

TUTORIAL:COMO CORRIGIR ERRO DE AUTENTICAÇÃO DE DOIS FATORES NO FORTNITE
Anonim

Uma autenticação de dois fatores O sistema amplamente utilizado na Alemanha não impede que os cibercriminosos drenem contas bancárias, disse uma importante autoridade alemã.

Até o ano passado, cerca de 95% dos usuários alemães usavam códigos "iTan", números secretos aleatórios que são solicitadas por um cliente do banco durante uma transação on-line, disse Mirko Manske, superintendente-chefe do Departamento Federal de Polícia Criminal da Alemanha.

O código iTan é usado como uma medida adicional de autenticação além das informações de login do cliente. O código iTan só pode ser usado uma vez e destina-se a impedir ataques bancários online em que um invasor tem todas as outras informações do cliente.

[Outras leituras: Como remover malware do seu PC com Windows]

trabalho ", disse Manske durante uma apresentação no Congresso E-crime em Londres. "Ainda estamos perdendo dinheiro."

O problema é que os hackers descobriram maneiras de executar transações em tempo real, utilizando o código iTan e tornando o controle de segurança essencialmente inútil.

O estilo de ataque é chamado de homem em no meio, onde um atacante é capaz de modificar dados trocados entre o PC hackeado e um servidor do banco. Outra versão é chamada man no navegador, onde um programa Trojan Horse modifica a transação.

Manske, cuja apresentação foi parcialmente censurada por conter informações sigilosas, mostrou dois cenários sob os quais códigos iTan são usados ​​durante transferências de dinheiro.

Em um dos cenários, a vítima recebe uma confirmação de que está enviando € 500 (US $ 677). De fato, um hacker modificou as informações e transferiu € 5.000 para outra conta, disse Manske.

Outro incidente mostrou como os programadores de malware tecnicamente avançados se tornaram. Um grande banco alemão gastou uma quantia significativa de dinheiro implementando um sistema onde uma foto de cartas embaralhadas, chamada de CAPTCHA (Teste de Turing Público Completamente Automatizado para Tell Computers e Humans Apart), seria exibida com detalhes da transação, disse Manske. Os CAPTCHAs costumam ser usados ​​para impedir que bots automatizados registrem, por exemplo, muitas contas de e-mail, já que os computadores não são tão bons em humanos quanto descodificadores de personagens. No caso do banco, o CAPTCHA foi usado para fornecer outro nível de verificação de transação.

Em outro exemplo surpreendente de inovação em cibercrime, Manske disse que os invasores desenvolveram um componente especial que poderia renderizar uma cópia perfeita do CAPTCHA para ser usada um ataque man-in-the-middle. Essa cópia seria exibida junto com detalhes de transação aparentemente corretos durante um ataque.

"Há alguns programadores muito talentosos por aí", disse Manske.

O Facebook remove números móveis de autenticação de dois fatores da pesquisa

O Facebook remove números móveis de autenticação de dois fatores da pesquisa

Usuários do Facebook que associaram um número de celular a suas contas para ativar o recurso de segurança "Aprovações de login" não pode mais ser encontrado no site com base nesses números de telefone, disse a empresa segunda-feira.

Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.

Senhas específicas de aplicativos enfraquecem a autenticação de dois fatores do Google, dizem pesquisadores Pesquisadores descobriram uma brecha no sistema de autenticação do Google que permitia para ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para aplicativos individuais.

Pesquisadores do provedor de autenticação de dois fatores Duo Security descobriram uma brecha no sistema de autenticação do Google que permitiu ignorar a verificação de login em duas etapas da empresa abusando das senhas exclusivas usadas para conectar aplicativos individuais às contas do Google.

O Hack do Evernote é apenas a mais recente violação que ilustra a necessidade de dois fatores autenticação. O Evernote revelou no fim de semana que foi vítima de violação de dados, enviando e-mails a usuários e publicando um aviso em seu site que os invasores tinham acesso a nomes de usuários, endereços de e-mail e senhas criptografadas associadas. com contas do Evernote. Como precaução, o Evernote forçou todos os 50 milhões de usuários a redefinir suas senhas. Esse é um bom passo, mas não é bom

O Hack do Evernote é apenas a mais recente violação que ilustra a necessidade de dois fatores autenticação. O Evernote revelou no fim de semana que foi vítima de violação de dados, enviando e-mails a usuários e publicando um aviso em seu site que os invasores tinham acesso a nomes de usuários, endereços de e-mail e senhas criptografadas associadas. com contas do Evernote. Como precaução, o Evernote forçou todos os 50 milhões de usuários a redefinir suas senhas. Esse é um bom passo, mas não é bom

Os usuários do Evernote foram bloqueados de suas contas até que eles mudassem suas senhas. • Originalmente projetado como um serviço comercial, pelo menos até a liberação de dezembro do Evernote for Business. O Evernote é basicamente uma ferramenta de anotações e organização similar ao OneNote da Microsoft. O Evernote oferece uma variedade de serviços, incluindo o Evernote Food, o Evernote Peek, o Skitch, o Penultimate e muito mais, como ferramentas ou aplicativos baseados na Web em uma variedad