Por “pirateado”, supongo que quiere decir que un atacante ha obtenido la contraseña, pero no puede acceder a la cuenta porque el atacante no tiene acceso a la contraseña de un solo uso enviada durante una autenticación 2FA.
Si este es el caso, la forma más simple y menos costosa para que el atacante logre esto es suplantar la contraseña de un solo uso de 2FA:
- El atacante crea una réplica de la página de inicio de sesión de Google, un sitio de phishing
- El atacante envía un correo electrónico al usuario solicitándole que inicie sesión en el sitio de phishing
- El atacante inicia sesión en Google como usuario exactamente al mismo tiempo que el usuario inicia sesión en el sitio de phishing
- Google envía una contraseña única de 2FA al usuario
- El usuario ingresa la contraseña de un solo uso en el sitio de phishing
- El atacante reproduce de inmediato la contraseña de un solo uso para Google
Esta es una vulnerabilidad conocida de los protocolos de contraseña de un solo uso estandarizados por OATH. Los protocolos U2F, por otro lado, tienen un mecanismo opcional para evitar este ataque al vincular la respuesta 2FA al nombre de host del sitio o al ID del canal SSL.
- ¿1Password agregará una opción para eliminar el llavero / bóveda después de X intentos fallidos?
- Cómo rastrear quién está monitoreando mi computadora
- Cómo hacer que mi aplicación web sea más segura
- ¿Qué antivirus tiene la mayor base de datos?
- ¿Cuáles son las habilidades que tengo que adquirir para sobresalir en seguridad de la información?