Autenticação baseada em 2 fatores
Nelson Murilo
Agenda
๏
Motivação
๏
Tipos de 2FA
๏
Ataques
๏ Soluções
Motivação
๏ Vários bancos e sites estão usando
autenticação com 2 fatores
๏ Vários usuários continuam tendo
suas credenciais capturadas
๏
Por que?
Fatores
๏
O que se sabe
๏
O que se tem
๏
O que se é
Tipos
๏
OTP
๏
Internet + SMS (Reverso)
๏ Ligação
๏
Reversa
Biometria
OTP
OTP
OTP
Solicitação do Cód
igo de autenticaçã
Código de autenticação
ira
e
c
n
a
n
fi
o
ã
ç
a
s
n
Tra
o
OTP
ódigo
C
a
r
T
ns
aç
ão
fin
c
n
a
a
r
i
e
Ou
Có
dig
o
tra
tra
ns
aç
ão
Man in the middle attack
Internet + Hard Token
inlog
Man in the middle attack
Man in the middle attack
OTP
Man in the middle attack
๏
Manual ou Robô
๏
Janela de ataque ~2 minutos
๏
Troca da transação legítima pela
do fraudador
OTP
๏
Desvinculado da transação
๏
Man in the middle
๏
Man in the browser
Internet + SMS (reverso)
Uso:
๏ Identificação
de computador
๏
Autenticação
๏
Confirmação de transação
Internet + SMS
๏
Man in the Middle
๏
Man in the Browser
๏
Man in the Mobile
Internet + Celular
Código de autentic
ação - SMS
ira
e
c
n
a
n
fi
o
ã
ç
a
s
n
Tra
Internet + Celular
Solicitação do SMS
vio
En
o
i
v
n
E
S
M
S
de
de
cr
ed
en
cia
is
Link falso
Ac
s
s
e
o
a
o
e
t
i
s
Internet + Celular
Internet + Celular
re
Download de malwa
SMS
S
SM
En
vi
do
o
o
vi
de
en
Re
o de
cr
ed
e
Envi
nc
ia
is
Link falso
e
c
A
o
a
o
s
s
e
t
i
s
Internet + Celular
Man in the middle attack
๏
On-line ou Robô
๏
Janela de ataque ~1 dia
๏
Acesso com as credenciais
do usuário
OTP
OTP
Internet + Celular
Man in the middle attack
๏
On-line ou Robô
๏
Janela de ataque ~1 dia
๏
Acesso com as credenciais
do usuário
Internet + Celular
Ataque 3
๏
Usuário acessa site falso e informa
suas credencias
๏
Em seguida o site falso informa que ele
deve “sincronizar” o celular e instala
malware
Atacante agora controla PC e celular
Internet + Ligação p/ usuário
Microfone
a
ir
e
c
n
a
n
fi
o
ã
ç
a
Trans
e
L
ra
a
p
o
ã
ç
iga
t
n
e
i
o cl
Ligação Reversa
๏
๏
Gravador (captura de credenciais)
Redirecionamento de
chamada
Man in the Browser
Credenciais
Credenciais
Transação A
Transação A
Método de
autenticação
Transação B
Transação B
Redirecionamento de
chamada
Redirecionamento de
chamada
Redirecionamento de
chamada
et
n
r
Inte
z
Vo
Redirecionamento de
chamada
Redirecionamento de
chamada
2G
Redirecionamento de
chamada
In
te
In
ter
n
et
rn
et
Vo
z
Vo
z
I
et
n
r
nte
z
Vo
Redirecionamento de
chamada
In
ter
n
et
Vo
z
Vo
z
I
et
n
r
nte
z
Vo
Redirecionamento de
chamada
Redirecionamento de
chamada
Autenticação baseada em 2 fatores
Nelson Murilo
Download

Duplo fator de autenticação - Tipo, Ataques e Soluções.