La autenticación de 2 factores esta siendo ampliamente usada, es necesario además de un típico login de usuario y contraseña, con esto se agrega una segunda capa de seguridad que puede ser un mensaje de texto de tu celular, aplicaciones de autenticación de terceros como la autenticación de Google, de Microsoft, Salesforce, etc. huella digital o reconocimiento facial.
La autenticación de múltiples factores (MFA) es una combinación de mas de 2 de las maneras antes mencionadas. tener credenciales validas no es suficiente para hacerse de una cuenta que tiene doble factor de autenticación.
veamos los siguientes formas de atacar los segundos factores de autenticacion!
- omitir 2FA con restablecimiento de contraseña
suponiendo que el atacante ya tiene las credenciales, entonces usa la función de restablecimiento de contraseña y luego cambia el segundo factor de autenticación, aquí es necesario ver si hay un link en los endpoint, capturarlo y cambiarlo.
- omitir 2FA usando fuerza bruta
dependiendo de la longitud del código de autenticación de 2 factores, por lo general son números de 4 a 6 caracteres.
- a traves de phishing
imitar una web real, y pedir el segundo factor de autenticacion, para el mejor phising tenemos una tool disponible https://github.com/kgretzky/evilginx2.
- directo bypass
simplemente intentar acceder al próximo endpoint, se necesita conocer el próximo endpoint, también intentar cambiar el referer header.
- reutilizacion de token
intentar reutilizar un token dentro de la cuenta para autenticarse.