Какие уязвимости существуют при реализации двухфакторной аутентификации?

Введение

Двухфакторная аутентификация (2FA) значительно повышает безопасность, добавляя второй уровень проверки. Однако она не является панацеей и имеет ряд уязвимостей, которые могут быть использованы злоумышленниками. Понимание этих слабых мест необходимо для построения более надежной защиты.

Основные уязвимости

• Фишинг (Phishing): Злоумышленник создает поддельную страницу входа, которая перехватывает как пароль, так и одноразовый код 2FA. После получения данных он может мгновенно использовать их для входа в настоящий сервис.
• SIM-свопинг (SIM Swapping): Атакующий убеждает мобильного оператора перенести номер телефона жертвы на свою SIM-карту. После этого все SMS с кодами 2FA приходят злоумышленнику.
• Атаки на сессии (Session Hijacking): Если злоумышленник получает доступ к сессионному cookie после успешной 2FA, он может обходить повторную аутентификацию. Это особенно актуально, если сессия не привязана к IP-адресу или устройству.
• Уязвимости реализации: Отсутствие ограничения на количество попыток ввода кода позволяет брутфорс. Также уязвимость может быть в логике: например, если 2FA применяется только для входа, но не для критических действий (смена пароля, перевод средств).

Пример кода (уязвимость брутфорса)

// Уязвимый код без ограничения попыток
app.post('/verify-2fa', (req, res) => {
  const { userId, code } = req.body;
  const storedCode = get2FACode(userId);
  if (code === storedCode) {
    // успешный вход
  } else {
    // нет блокировки после неудачных попыток
  }
});

// Исправленный код с ограничением
app.post('/verify-2fa', (req, res) => {
  const { userId, code } = req.body;
  const attempts = getAttempts(userId);
  if (attempts > 5) {
    return res.status(429).send('Too many attempts');
  }
  // ... проверка кода
});

Вывод

2FA — важный, но не единственный слой защиты. Для минимизации рисков следует использовать аппаратные ключи (U2F/FIDO2), ограничивать количество попыток, привязывать сессии к устройству и обучать пользователей распознавать фишинг.