Hesabınızda iki faktörlü kimlik doğrulamayı etkinleştirmenin onu %100 güvenli hale getirdiğini düşünebilirsiniz. İki faktörlü kimlik doğrulama^{(Two-factor authentication)} , hesabınızı korumanın en iyi yöntemlerinden biridir. Ancak, iki faktörlü kimlik doğrulamayı etkinleştirmesine rağmen hesabınızın ele geçirilebileceğini duymak sizi şaşırtabilir. Bu makalede, saldırganların iki faktörlü kimlik doğrulamayı atlayabileceği farklı yolları anlatacağız.

İki Faktörlü Kimlik Doğrulama^{(Authentication)} (2FA) nedir?

Başlamadan önce, 2FA'nın ne olduğunu görelim. Hesabınıza giriş yapmak için bir şifre girmeniz gerektiğini biliyorsunuz. Doğru şifre olmadan giriş yapamazsınız. 2FA, hesabınıza ekstra bir güvenlik katmanı ekleme işlemidir. Etkinleştirdikten sonra, yalnızca şifreyi girerek hesabınıza giriş yapamazsınız. Bir güvenlik adımını daha tamamlamanız gerekiyor. Bu, 2FA'da web sitesinin kullanıcıyı iki adımda doğruladığı anlamına gelir.

Okuyun^(Read) : Microsoft Hesabında 2 Adımlı Doğrulamayı Etkinleştirme^{(How to Enable 2-step Verification in Microsoft Account)} .

2FA Nasıl Çalışır?

İki faktörlü kimlik doğrulamanın çalışma prensibini anlayalım. 2FA, kendinizi iki kez doğrulamanızı gerektirir. Kullanıcı adınızı ve şifrenizi girdiğinizde, oturum açmaya çalışan gerçek kişi olduğunuzun ikinci bir kanıtını sağlamanız gereken başka bir sayfaya yönlendirileceksiniz. Bir web sitesi aşağıdaki doğrulama yöntemlerinden herhangi birini kullanabilir:

OTP (Tek Kullanımlık Şifre)

Şifreyi girdikten sonra, web sitesi kayıtlı cep telefonu numaranıza gönderilen OTP'yi girerek kendinizi doğrulamanızı söyler. ^(OTP)Doğru OTP'yi^(OTP) girdikten sonra hesabınıza giriş yapabilirsiniz.

İstemi Bildirimi

İnternete bağlıysa akıllı telefonunuzda istem bildirimi görüntülenir. “ Evet^(Yes) ” düğmesine dokunarak kendinizi doğrulamanız gerekir . Bundan sonra, PC'nizde hesabınıza giriş yapacaksınız.

Yedekleme Kodları

Yedek^(Backup) kodlar, yukarıdaki iki doğrulama yöntemi çalışmadığında kullanışlıdır. Hesabınızdan indirdiğiniz yedek kodlardan herhangi birini girerek hesabınıza giriş yapabilirsiniz.

Kimlik Doğrulayıcı Uygulaması

Bu yöntemde hesabınızı bir kimlik doğrulayıcı uygulamasına bağlamanız gerekir. Hesabınıza ne zaman giriş yapmak isterseniz, akıllı telefonunuzda yüklü olan kimlik doğrulama uygulamasında görüntülenen kodu girmeniz gerekir.

Bir web sitesinin kullanabileceği birkaç doğrulama yöntemi daha vardır.

Okuyun^(Read) : Google Hesabınıza İki Adımlı Doğrulama Nasıl Eklenir^{(How To Add Two-step Verification To Your Google Account)} .

Hacker'lar İki Faktörlü Kimlik Doğrulamayı nasıl aşabilir?^{(Two-factor Authentication)}

Şüphesiz, 2FA hesabınızı daha güvenli hale getirir. Ancak bilgisayar korsanlarının bu güvenlik katmanını atlamasının hala birçok yolu var.

1] Çerez Çalma^{(Cookie Stealing)} veya Oturum Ele Geçirme^{(Session Hijacking)}

Çerez çalma veya oturum ele geçirme^{(Cookie stealing or session hijacking)} , kullanıcının oturum çerezini çalma yöntemidir. Bilgisayar korsanı, oturum tanımlama bilgisini çalmayı başarınca, iki faktörlü kimlik doğrulamayı kolayca atlayabilir. Saldırganlar, oturum sabitleme, oturum koklama, siteler arası komut dosyası oluşturma, kötü amaçlı yazılım saldırısı vb. gibi birçok ele geçirme yöntemini bilir. Evilginx , bilgisayar korsanlarının ortadaki adam saldırısı gerçekleştirmek için kullandığı popüler çerçeveler arasındadır. Bu yöntemde bilgisayar korsanı, kullanıcıya kendisini bir proxy oturum açma sayfasına götüren bir kimlik avı bağlantısı gönderir. Kullanıcı 2FA kullanarak hesabına giriş yaptığında Evilginx^(Evilginx) , kimlik doğrulama koduyla birlikte oturum açma kimlik bilgilerini de alır. OTP'den^(OTP) berikullanımdan sonra sona erer ve belirli bir zaman dilimi için de geçerlidir, kimlik doğrulama kodunu yakalamanın hiçbir faydası yoktur. Ancak bilgisayar korsanı, hesabına giriş yapmak ve iki faktörlü kimlik doğrulamayı atlamak için kullanabileceği kullanıcının oturum çerezlerine sahiptir.

2] Yinelenen Kod Oluşturma

Google Authenticator uygulamasını kullandıysanız, belirli bir süre sonra yeni kodlar oluşturduğunu bilirsiniz. Google Authenticator ve diğer kimlik doğrulama uygulamaları belirli bir algoritma üzerinde çalışır. Rastgele^(Random) kod oluşturucular genellikle ilk sayıyı oluşturmak için bir tohum değeriyle başlar. Algoritma daha sonra kalan kod değerlerini oluşturmak için bu ilk değeri kullanır. Bilgisayar korsanı bu algoritmayı anlayabilirse, kolayca yinelenen bir kod oluşturabilir ve kullanıcının hesabına giriş yapabilir.

3] Kaba Kuvvet

Brute Force , olası tüm şifre kombinasyonlarını oluşturmak için bir tekniktir. Bir parolanın kaba kuvvet kullanılarak kırılma süresi, parolanın uzunluğuna bağlıdır. Parola ne kadar uzun olursa, kırılması o kadar uzun sürer. Genel olarak, kimlik doğrulama kodları 4 ila 6 basamak uzunluğundadır, bilgisayar korsanları 2FA'yı atlamak için kaba kuvvet girişimi deneyebilir. Ancak günümüzde kaba kuvvet saldırılarının başarı oranı daha azdır. Bunun nedeni, kimlik doğrulama kodunun yalnızca kısa bir süre için geçerli kalmasıdır.

4] Sosyal Mühendislik

Sosyal Mühendislik , bir saldırganın kullanıcının zihnini kandırmaya çalıştığı ve onu sahte bir giriş sayfasına giriş bilgilerini girmeye zorladığı tekniktir. Saldırganın kullanıcı adınızı ve şifrenizi bilip bilmemesi önemli değil, iki faktörlü kimlik doğrulamayı atlayabilir. Nasıl? Bakalım:

Saldırganın kullanıcı adınızı ve şifrenizi bildiği ilk durumu ele alalım. 2FA'yı etkinleştirdiğiniz için hesabınıza giriş yapamıyor. Kodu almak için size kötü niyetli bir bağlantı içeren bir e-posta gönderebilir ve hemen harekete geçmezseniz hesabınızın saldırıya uğrayabileceği konusunda sizde bir korku yaratabilir. Bu bağlantıya tıkladığınızda, orijinal web sayfasının gerçekliğini taklit eden bilgisayar korsanının sayfasına yönlendirileceksiniz. Şifreyi girdikten sonra hesabınız saldırıya uğrayacaktır.

Şimdi, bilgisayar korsanının kullanıcı adınızı ve şifrenizi bilmediği başka bir durumu ele alalım. Yine^(Again) bu durumda size bir oltalama bağlantısı gönderiyor ve 2FA kodu ile birlikte kullanıcı adınızı ve şifrenizi çalıyor.

5] OAuth

OAuth entegrasyonu, kullanıcılara bir üçüncü taraf hesabı kullanarak hesaplarına giriş yapma olanağı sağlar. Kullanıcılar ve servis sağlayıcılar arasındaki kimliği kanıtlamak için yetkilendirme belirteçlerini kullanan tanınmış bir web uygulamasıdır. OAuth'u^(OAuth) hesaplarınıza giriş yapmanın alternatif bir yolu olarak düşünebilirsiniz .

Bir OAuth mekanizması şu şekilde çalışır:

1. A Sitesi , bir kimlik doğrulama belirteci için Site B'yi^{(Site B)} (örneğin Facebook ) ister.^(Facebook)
2. B Sitesi^{(Site B)} , isteğin kullanıcı tarafından oluşturulduğunu kabul eder ve kullanıcının hesabını doğrular.
3. B Sitesi^{(Site B)} daha sonra bir geri arama kodu gönderir ve saldırganın oturum açmasına izin verir.

Yukarıdaki işlemlerde saldırganın 2FA üzerinden kendisini doğrulaması gerekmediğini gördük. Ancak bu bypass mekanizmasının çalışması için bilgisayar korsanının, kullanıcının hesabının kullanıcı adı ve şifresine sahip olması gerekir.

Bilgisayar korsanları, bir kullanıcının hesabının iki faktörlü kimlik doğrulamasını bu şekilde atlayabilir.

2FA atlamayı nasıl önleyebilirim?

Bilgisayar korsanları gerçekten de iki faktörlü kimlik doğrulamayı atlayabilir, ancak her yöntemde, onları kandırarak aldıkları kullanıcıların onayına ihtiyaçları vardır. Kullanıcıları kandırmadan 2FA'yı atlamak mümkün değildir. Bu nedenle^(Hence) aşağıdaki noktalara dikkat etmelisiniz:

• Herhangi bir bağlantıya tıklamadan önce lütfen orijinalliğini kontrol edin. Bunu, gönderenin e-posta adresini kontrol ederek yapabilirsiniz.
• ^{(Create a strong password)}Harfler, sayılar ve özel karakterlerin birleşiminden oluşan güçlü bir parola oluşturun .
• ^(Use)Yalnızca Google^(Google) kimlik doğrulayıcı, Microsoft kimlik doğrulayıcı vb. gibi orijinal kimlik doğrulayıcı uygulamaları kullanın .
• Yedek kodları güvenli bir yere indirin^(Download) ve kaydedin.
• Bilgisayar korsanlarının, kullanıcıların zihinlerini kandırmak için kullandığı kimlik avı e-postalarına asla güvenmeyin.
• Güvenlik kodlarını kimseyle paylaşmayın.
• 2FA'ya^(Setup) alternatif olarak hesabınızda güvenlik anahtarı kurun.
• Şifrenizi düzenli olarak değiştirmeye devam edin.

Okuyun^(Read) : Bilgisayar Korsanlarını Windows Bilgisayarınızdan Uzak Tutmak İçin İpuçları^{(Tips to Keep Hackers out of your Windows computer)} .

Çözüm

İki faktörlü kimlik doğrulama, hesabınızı ele geçirmeye karşı koruyan etkili bir güvenlik katmanıdır. Bilgisayar korsanları her zaman 2FA'yı atlama şansı elde etmek ister. Farklı hack mekanizmalarından haberdarsanız ve şifrenizi düzenli olarak değiştirirseniz hesabınızı daha iyi koruyabilirsiniz.

How Hackers can get around Two-factor Authentication

You may think that enabling two-factor authentication on your account makes it 100% securе. Two-factor authentication is among the best methods to protect your account. But you may be surprised to hear that your account can be hijacked despite enabling two-factor authentication. In this article, we will tell you the different ways by which attackers can bypass two-factor authentication.

What is Two-factor Authentication (2FA)?

Before we begin, let’s see what 2FA is. You know that you have to enter a password to log into your account. Without the correct password, you cannot log in. 2FA is the process of adding an extra security layer to your account. After enabling it, you cannot log into your account by entering the password only. You have to complete one more security step. This means in 2FA, the website verifies the user in two steps.

Read: How to Enable 2-step Verification in Microsoft Account.

How Does 2FA Work?

Let’s understand the working principle of two-factor authentication. The 2FA requires you to verify yourself two times. When you enter your username and password, you will be redirected to another page, where you have to provide a second proof that you are the real person trying to log in. A website can use any of the following verification methods:

OTP (One Time Password)

After entering the password, the website tells you to verify yourself by entering the OTP sent on your registered mobile number. After entering the correct OTP, you can log into your account.

Prompt Notification

Prompt notification is displayed on your smartphone if it is connected to the internet. You have to verify yourself by tapping on the “Yes” button. After that, you will be logged into your account on your PC.

Backup Codes

Backup codes are useful when the above two methods of verification won’t work. You can log into your account by entering any one of the backup codes you have downloaded from your account.

Authenticator App

In this method, you have to connect your account with an authenticator app. Whenever you want to log into your account, you have to enter the code displayed on the authenticator app installed on your smartphone.

There are several more methods of verification that a website can use.

Read: How To Add Two-step Verification To Your Google Account.

How Hackers can get around Two-factor Authentication

Undoubtedly, 2FA makes your account more secure. But there are still many ways by which hackers can bypass this security layer.

1] Cookie Stealing or Session Hijacking

Cookie stealing or session hijacking is the method of stealing the session cookie of the user. Once the hacker gets success in stealing the session cookie, he can easily bypass the two-factor authentication. Attackers know many methods of hijacking, like session fixation, session sniffing, cross-site scripting, malware attack, etc. Evilginx is among the popular frameworks that hackers use to perform a man-in-the-middle attack. In this method, the hacker sends a phishing link to the user that takes him to a proxy login page. When the user logs into his account using 2FA, Evilginx captures his login credentials along with the authentication code. Since the OTP expires after using it and also valid for a particular time frame, there is no use in capturing the authentication code. But the hacker has the user’s session cookies, which he can use to log into his account and bypass the two-factor authentication.

2] Duplicate Code Generation

If you have used the Google Authenticator app, you know that it generates new codes after a particular time. Google Authenticator and other authenticator apps work on a particular algorithm. Random code generators generally start with a seed value to generate the first number. The algorithm then uses this first value to generate the remaining code values. If the hacker is able to understand this algorithm, he can easily create a duplicate code and log into the user’s account.

3] Brute Force

Brute Force is a technique to generate all the possible password combinations. The time for cracking a password using brute force depends on its length. The longer the password is, the more time it takes to crack it. Generally, the authentication codes are from 4 to 6 digits long, hackers can try a brute force attempt to bypass the 2FA. But today, the success rate of brute force attacks is less. This is because the authentication code remains valid only for a short period.

4] Social Engineering

Social Engineering is the technique in which an attacker tries to trick the user’s mind and forces him to enter his login credentials on a fake login page. No matter whether the attacker knows your username and password or not, he can bypass the two-factor authentication. How? Let’s see:

Let’s consider the first case in which the attacker knows your username and password. He cannot log into your account because you have enabled 2FA. To get the code, he can send you an email with a malicious link, creating a fear in you that your account can be hacked if you do not take immediate action. When you click on that link, you will be redirected to the hacker’s page that mimics the authenticity of the original webpage. Once you enter the passcode, your account will be hacked.

Now, let’s take another case in which the hacker does not know your username and password. Again, in this case, he sends you a phishing link and steals your username and password along with the 2FA code.

5] OAuth

OAuth integration provides users with a facility to log into their account using a third-party account. It is a reputed web application that uses authorization tokens to prove identity between the users and service providers. You can consider OAuth an alternate way to log into your accounts.

An OAuth mechanism works in the following way:

1. Site A requests Site B (e.g. Facebook) for an authentication token.
2. Site B considers that the request is generated by the user and verifies the user’s account.
3. Site B then sends a callback code and lets the attacker sign in.

In the above processes, we have seen that the attacker does not require to verify himself via 2FA. But for this bypass mechanism to work, the hacker should have the user’s account username and password.

This is how hackers can bypass the two-factor authentication of a user’s account.

How to prevent 2FA bypassing?

Hackers can indeed bypass the two-factor authentication, but in each method, they need the users’ consent which they get by tricking them. Without tricking the users, bypassing 2FA is not possible. Hence, you should take care of the following points:

• Before clicking on any link, please check its authenticity. You can do this by checking the sender’s email address.
• Create a strong password that contains a combination of alphabets, numbers, and special characters.
• Use only genuine authenticator apps, like Google authenticator, Microsoft authenticator, etc.
• Download and save the backup codes at a safe place.
• Never trust phishing emails that hackers use to trick the users’ minds.
• Do not share security codes with anyone.
• Setup security key on your account, an alternative to 2FA.
• Keep changing your password regularly.

Read: Tips to Keep Hackers out of your Windows computer.

Conclusion

Two-factor authentication is an effective security layer that protects your account from hijacking. Hackers always want to get a chance to bypass 2FA. If you are aware of different hacking mechanisms and change your password regularly, you can protect your account better.

Related posts

• Two-Factor Authentication Discord'te Nasıl Etkinleştirilir?

• İki Faktörlü Kimlik Doğrulama için Kurtarma ve Yedekleme Seçeneklerini Doğru Şekilde Ayarlama

• Windows üzerinde WAMP kullanarak Drupal nasıl yüklenir

• Windows, IOS, Android için Best Software & Hardware Bitcoin Wallets

• Setup Internet Radio Station ücretsiz Windows PC üzerinde

• Whiteboard Fox, real-time sharing'e izin veren ücretsiz bir online whiteboard'dır

• Encrypt Nasıl Yapılır ve LibreOffice Belgelerine Şifreler Ekleyin

• Best Laptop Tables çevrimiçi satın almak

• NFT ne demek ve NFT Digital Art nasıl oluşturulur?

• Zip file, DropBox'ten dosyaları indirirken çok büyük bir hatadır

• Microsoft Identity Manager: Özellikler, Download

• Analog, Digital and Hybrid computers arasındaki fark

• Cyber Monday & Black Friday Sale alışveriş ipuçları takip etmek istediğiniz

• Bu hesap herhangi bir Mixer account ile bağlantılı değil

• Silly Window Syndrome nedir - Explanation and Prevention

• LibreOffice Calc'teki en iyi özellikler

• Blue Whale Challenge Dare Game nedir

• LibreOffice ile PDf belgelerin güvenliğini Nasıl şifre-koruma ve

• Oturum mesajlaşma uygulaması teklifler güçlü güvenlik; No phone numarası gerekli!

• Automate.io, ücretsiz bir automation tool and IFTTT alternatifidir