Sniperovitch
est avec nous depuis le 27 novembre 2015 ❤️
Bio
Oups.
On dirait que quelqu'un ici aime garder ses petits secrets, comme si de par hasard il y avait quelque chose à cacher...
Désolé, ô lectrice de passage, cher lecteur égaré, pas de révélation sensationnelle pour le moment sur ce profil.
Repassez plus tard ?
1 commentaires
Un chercheur explique comment contourner l’authentification à deux facteurs grâce aux cookies de session
Le 11/05/2018Le 11/05/2018 à 11h 59
Tu as un compte sur un site A.
Le pirate crée un site B qui est une copie du site A graphiquement.
Il t’envoie dessus (phishing ou autre).
Tu arrives sur la page d’authentification.
Tu indiques ton identifiant et ton mot de passe.
Le site B envoie ça au site A
Le site A demande le code du 2FA (soit soft token, soit SMS)
Le site B te demande le code 2FA
Tu reçois le SMS ou tu regardes ton soft token
Tu donnes au site B le code
Le site B donne le code au site A
Le site A envoie le cookie de session à B
Le site B enregistre le cookie de session et te l’envoie puis te redirige sur le site A officiel.
L’authentification s’est déroulée entièrement, au milieu quelqu’un a récupéré ton cookie.