Dvoufaktorová autorizace neeexistuje..,je to autentizace..Tzn..zjištění identity..autorizace(zjištění přístupových opravneni) je az následná.

Tak mozna Hillary by si mela dat pozor, me takovy jednoduchy trik nerozhazi.

hmm zajimave .... a ted bych se konecne rad docetl o tom novem utoku !

Nechapu, ze phishing jeste frci. Asi je porad dost lidi, kteri o takove trapne taktice jeste nevedi, ale to je holt jejich chyba, kdyz maj internet jen na facebook apod.

K dvoufázovému ověření:

Nejdříve je potřeba říci, že ověřit lze různými způsoby. Google mimo jiné umožňuje ověřit pomocí SMS nebo generátoru kódů a nebo potvrzením na telefonu.

Situace je nejhorší v případě potvrzení na telefonu. To probíhá tak, že na uživatele vyskočí obrazovka, která se ptá, zda-li se zrovna přihlašuje, nebo ne. A jelikož uživatel se v tuto chvíli skutečně chce přihlásit, přihlášení potvrdí a tím útočníkovi umožnil přístup.

V případě SMS i generátoru kódu je situace pro útočníka složitější v tom, že podvržená stránka musí automaticky vyžadovat zadání potvrzení. Ovšem méně obezřetný uživatel kód z SMS zadá a tím útočník opět obešel dvoufázové ověření.

Já se tedy nedomnívám, že v tomto okamžiku dvoufázové ověření zvyšuje zabezpečení.

Proti této formě útoku mi přijde nejefektivnější velice jednoduchá věc, kterou používá například Steam. Při kliknutí na odkaz, který směřuje mimo doménu dané služby, otevře nejdříve varovnou obrazovku, na které vás upozorňuje, že opouštíte web služby Steam a zeptá se vás, jestli si přejete pokračovat.

Pokud by toto implementovali poštovní služby, považoval bych to za dostatečnou ochranu přes jakýmkoli pishingem.

Dejte vědět, co si o tom myslíte, protože kybernetická bezpečnost je důležitá a týká se nás všech

a jak útočník zjistí Vaše číslo k dvoufázovému ověření?

proti této formě útoku je nejefektivnější obezřetnost, zdravý rozum a využívání veškerých prvků ochrany, které provozovatel emailové služby nabízí..

Nechápu. To má někde Gmail tak hloupě navržené rozhraní, že uživatel na první pohled nerozezná klasickou přílohu od obrázku v HTML části zprávy?

login stránka do emailu je docela jednoduchá, a mnoho uživatelů do levého rohu na SSL certifikát taky nekouká, navíc, málo kdo ví, že existuje něco jako bílé znaky v URL..

Zajímalo by mě, jak by uspěli, pokud má uživatel Gmailu nastavené dvoufázové ověření účtu.

To je dobrá otázka. Mělo by to hodně pomoci, ovšem čistě teoreticky by na to mohli vyzrát tím man-in-the-middle útokem. Vy byste měl pocit, že se dvoufázově přihlašujete a oni by ta vaše data dávali do skutečného formuláře. Ale to by fungovalo spíše u cíleného útoku, ne při automatizovaném masové phishingu. A výše uvedené je jen moje spekulace.

hmmm a kdo dá útočníkovi k dispozici můj mobil, aby ověřil esemeskou přihlášení lupo?

Jop, to taky nevim :)