中间攻击中的城域网带外认证

Question

我在研究避免人在中间攻击的方法。我想使用带外身份验证，但我阅读了维基百科关于同一主题的文章，内容如下：

“在认证中，带外指利用两个不同的网络或信道，其中一个不同于主网络或信道，同时用于双方或用于识别用户的设备之间的通信。蜂窝网络通常用于带外认证.带外认证的一个例子是，当一个在线银行用户通过登录登录访问他们的在线银行帐户时，一个一次性密码通过短信发送到他们的手机上来识别他们。主通道将是用户输入其登录信息的在线登录屏幕，第二个独立信道将是蜂窝网络。这一增加的安全层防止黑客和恶意软件破坏对完整身份验证过程的访问，然而，这种验证用户身份的方法已知易受中间人(MITM)攻击的影响。“

有人能解释一下为什么粗体线是真的吗？换句话说，在中间攻击中，像sms这样的带外认证是如何容易受到攻击的？

Answer 1

威胁是当MITM拥有登录屏幕时。

例如，如果您在一封电子邮件中单击一个链接，该链接声称是https://yourbank.example的链接，但实际上是指向http://yourbank.evilbob.example的链接，然后输入用于银行网站的用户名和密码，则邪恶鲍勃只需转发这些链接即可。

然后，不知道这是EvilBob的网站提交你的证书而不是你的https://yourbank.example，尽职尽责地向你的手机发送一个auth代码，等待你的回复。但是，您仍然在http://yourbank.evilbob.example上，它已经接受了您的用户名和密码，并为您提供了一个输入字段，以输入您将在手机上接收到的auth代码。

因此，您可以在http://yourbank.evilbob.example中输入auth代码，该代码会反过来提交给https://yourbank.example，邪恶鲍勃的网站现在会登录到您的在线银行界面中。

那就是处于中间威胁中的人，因为带外的二因素。

Answer 2

我写了上面引用的维基百科的原始文章。上面提出的一些评论是正确的，而另一些则不正确。简而言之，所有带外方法都容易受到中间人攻击，因为认证实体无法验证提供身份验证凭据的实体的真实性。无论这涉及硬件令牌、“哑”令牌还是发送到电话的代码，该进程仍然容易受到攻击。虽然连接的fobs更安全，但它们仍然依赖从fob传送到等待网站的信息(该网站可能是专门为获取该信息而构建的假冒网站)。目前唯一缓解所有中间人攻击的过程是虚拟令牌进程，这是一个基于FFIEC推荐的“复杂设备识别”标准的商业产品。

Answer 3

带外身份验证依赖于攻击者在试图同时窃听两个通信时所面临的额外困难。这一困难的产生是因为这两个渠道完全分开。

攻击者能够将这两个渠道结合在一起，就能击败这一防御。在宙斯恶意软件的情况下，受感染的PC试图通过USB或蓝牙感染移动设备。一旦发生这种情况，攻击者就控制用于双带身份验证的每个客户端终端，他有效地将信道整合在一起。

特别是宙斯将尝试通过PC登录，等待短信到达移动设备，并将短信发送回PC (恶意软件到恶意软件)。所有这些都是在没有任何迹象的情况下发生的，任何一个设备的用户。

这里的问题是，我们使用两个智能设备作为客户端。智能设备存在协议栈和软件漏洞。像HOTP fobs这样的“哑”硬件令牌没有这些问题，也不能被破坏，这也是选择使用它们的原因之一。