2FA Útoky
Pokud vás dokáže útočník využívající útok MITM (Man-In-The-Middle, člověk uprostřed) podvést, abyste navštívili jeho podvrženou stránku, a vyzve vás k zadání vašich přihlašovacích údajů 2FA, je to v podstatě konec.
Útoky typu „člověk v koncovém bodě"
Podobně jako u útoků MITM, pokud dokáže hacker dostat svůj škodlivý software do vašeho počítače, může upravit software, který se používá ve vašem procesu 2FA, a to buď k odcizení tajemství chráněných tokenem 2FA, nebo k použití již schválené autentizace pro přístup k něčemu v zákulisí.
Specializovaný útok typu „člověk v koncovém bodu“ může mít podobu kompromitace softwaru souvisejícího se zařízením 2FA. Například k použití čipové karty v zařízení je potřebný software pro čipové karty, který čipovou kartu obsluhuje a rozumí jí.
Krádež a znovupoužití generátoru hesel
Mnoho hardwarových a softwarových tokenů 2FA generuje jednorázový kód, který je pro daného uživatele a zařízení jedinečný.
Mnoho služeb včetně populárních webových stránek, které umožňují používat 2FA, ji nevyžadují, což ale samotný účel zavedení 2FA sabotuje.
Existuje malé špinavé tajemství, které před vámi chtějí dodavatelé čipových karet tajit – každé zařízení/software 2FA jsou svázané s identitou uživatele/zařízení. Tato identita musí být v rámci autentizačního systému jedinečná.
Vaše atributy biometrické totožnosti (např. otisky prstů nebo sken sítnice) lze ukrást a opakovaně používat. Přitom je velmi těžké bránit útočníkovi, aby je používal.
Sdílená, integrovaná autentizace
Dnes jsou populární sdílená integrovaná autentizační schémata, jako je například oAuth, která umožňují uživateli přihlásit se jednou a znovu použít toto pověření (často v pozadí) k přihlášení k dalším službám a webovým stránkám.
Jak stále více webových stránek umožňuje nebo vyžaduje 2FA, hackeři se naučili, jak to vyřešit pomocí sociálního inženýrství.
Ztráta 2FA tokenů a jejich získání hackery není nic nového. Pokud web nebo služba používající přihlášení 2FA nepoužívá kontrolu špatných pokusů o přihlášení, mohou se útočníci pokoušet uhádnout PIN kód pro 2FA opakovaným zkoušením, dokud se netrefí.
Je realističtější předpokládat, že je více webů a softwaru s přihlašováním 2FA, které obsahují chyby umožňující obejít 2FA, než webů, jež jsou zcela bezpečné. Zde je příklad (www.zdnet.com/article/uber-security-flaw-two-factor-login-bypass/), ale existují stovky dalších příkladů implementací 2FA s chybami.