ソース:
訳:
2FA について知ってみましょう!
2FA は「二要素認証」の略で。
これは、システム、アカウント、またはアプリケーションにアクセスする前に、ユーザーが 2 つの異なる認証要素を提供することを要求するセキュリティプロセスで。
2FA の目標は、ユーザー名とパスワードだけでなく追加の検証層を追加することでセキュリティを強化することで。
なぜ 2FA が必要なのでしょうか?
- セキュリティの強化: 2FA の主な目的は、単なるユーザー名とパスワードを超える追加のセキュリティ層を提供することで。パスワードは、データ侵害、フィッシング攻撃、ソーシャル エンジニアリングなどのさまざまな手段を通じて簡単に侵害される可能性があって。2FA を使用すると、権限のない個人がアカウントにアクセスすることが大幅に困難になり。これは、ユーザーが知っている情報 (パスワード) と、ユーザーが所有している情報 (2 番目の要素) の両方が必要になるためで。
- パスワード盗難に対する保護: たとえ誰かがパスワードを盗んだとしても、2 番目の要素がなければアカウントにアクセスすることはできません。 これにより、不正アクセスを防ぐための重要な障壁が追加され。
- フィッシング攻撃の軽減: フィッシング攻撃では、ユーザーをだまして、正規の Web サイトを模倣した偽の Web サイトでログイン資格情報を明らかにさせ。 2FAを使用すると、ユーザーがフィッシングサイトでパスワードを入力した場合でも、攻撃者は2番目の要素を持たないため、アカウントを侵害することがはるかに困難になり。
- データ侵害の影響の軽減: データ侵害は一般的であり、ユーザー名やパスワードが漏洩する可能性があり。2FA を使用している場合、たとえ資格情報が侵害によって漏洩したとしても、攻撃者は 2 番目の要素がなければアカウントにアクセスできません。
- アカウントが2FAによって保護されていることがわかれば、安心感が得られ、不正アクセスのリスクやデジタルアイデンティティへの潜在的な損害が軽減され。
2FA ではログインプロセスに追加の手順が追加されますが、それによって得られるセキュリティ上の利点は不便さをはるかに上回り。
これは、デジタル化が進み相互接続が進む世界でオンラインプレゼンスを保護するのに役立つ、効果的で広く採用されているセキュリティ対策で。
時間を無駄にすることなく、直接脆弱性にジャンプしましょう。
bugcrowd プライベート プログラムで 2FA をどのようにバイパスできたかを説明。
再現する手順 :
- アカウントを作成します http://domain.com で
- 認証アプリ経由で 2FA を有効にする
- 今すぐアカウントをログアウトして
- パスワードを忘れた場合のページに移動
- パスワードを再設定
- パスワードを変更し、「変更を保存」をクリック
- 2FA なしで攻撃者がログインできることが観察され
これは私が 2FA を回避して $$$$ を獲得することができた手順です。
ほなほな。