web-dev-qa-db-fra.com

L'authentification à deux facteurs sur mon compte d'hébergement Web protégerait-elle contre le phishing par e-mail ciblant mon site?

J'ai récemment été attaqué sur mon compte Bluehost après avoir cliqué sur un e-mail qui semblait provenir de Bluehost (ne plus jamais cliquer sur un autre e-mail Bluehost). Tout en discutant avec le responsable du support pour résoudre le problème, a-t-il déclaré, l'activation de 2FA évitera que cela ne se reproduise à l'avenir.

Cependant, j'ai remarqué qu'une fois connecté, je reste connecté pendant un certain temps (je ne sais pas combien de temps). Dans ce cas, si je suis connecté sur le navigateur depuis lequel j'ouvre l'e-mail, je ne vois pas comment le 2FA me protégerait.

2FA me protégera-t-il donc du phishing par e-mail?

Selon cet article de crunch technologique

Dès qu'un utilisateur Bluehost connecté clique sur un lien d'un e-mail ou d'un Tweet vers cette page, le JavaScript masqué s'activera sur la page et injectera les informations de profil de l'attaquant dans le compte de la victime - en supposant que l'utilisateur est déjà connecté à Bluehost - en exploitant une faille de falsification de requête intersite (CSRF).

2
OctaviaLo

La réponse courte: cela dépend. 2FA empêche les gens de s'introduire, mais il ne peut rien faire si le compte est déjà cassé.

La réponse longue:

Cette attaque spécifique réussira probablement si elle est réussie, que vous ayez ou non une authentification à deux facteurs, car 2FA est une mesure de protection pour aider à sécuriser votre compte contre toute intrusion. 2FA est très difficile à protéger si le pirate est déjà à l'intérieur de votre compte, mais il protège contre d'autres schémas de craquage ou de phishing, comme si vous cliquez sur un lien et que le pirate accède à votre mot de passe en vous incitant à donner votre leur fournir des informations ou s’ils réussissent à forcer votre compte.

Quelques points clés:

  1. Si votre compte est déjà piraté, il est difficile de le protéger
  2. 2FA n'aidera pas contre ce type d'attaque, mais peut protéger contre les faux sites Web et le forçage brutal
2
Esmoothy