Two-Factor Auth: টু-ফ্যাক্টর অথেনটিকেশন বা 2FA কি সত্যিই সাইবার হামলাকারীদের সম্পূর্ণভাবে প্রতিহত করতে সক্ষম?

Identity verification-এর traditional three-factor model-

• Something you know: password, PIN, security question।
• Something you have: phone, hardware token, smart card।
• Something you are: fingerprint, face, iris।

প্রকৃত Two-Factor Authentication-এ এই তিন category থেকে দুটি ভিন্ন factor combine করা হয়। দুটি password বা দুটি question 2FA নয় — সেটি two-step। দুটি factor distinct category থেকে হতে হবে।

SMS-Based OTP

ব্যবহারকারীর mobile phone-এ SMS-এ One-Time Password পাঠানো হয়। সবচেয়ে widely deployed, কিন্তু সবচেয়ে দুর্বল 2FA।

দুর্বলতা:

• SIM Swap Attack: telecom provider-কে social engineer করে attacker target-এর number নিজের SIM-এ port করে। T-Mobile, AT&T, Verizon — সব major carrier থেকে SIM swap incident reported।
• SS7 Protocol Exploitation: legacy mobile signaling protocol-এর vulnerability।
• SMS Interception: nation-state এবং organized criminal capability।
• Phishing: real-time relay (Modlishka, Evilginx)।

NIST SP 800-63B SMS-based authentication-কে "restricted" classify করেছে এবং আগামী decade-এ deprecation recommend।

TOTP (Time-Based One-Time Password)

RFC 6238 অনুযায়ী। Google Authenticator, Microsoft Authenticator, Authy — সব এই standard implement করে। Server এবং authenticator app shared secret থেকে ৩০-সেকেন্ড interval-এ ৬-digit code generate করে।

শক্তি:

• offline operation (network connection লাগে না)।
• SIM swap immune।
• SS7 immune।

দুর্বলতা:

• Phishing: AiTM proxy real-time TOTP capture করে replay করতে পারে।
• Backup Restoration: যদি Authenticator app cloud-backed (Google Authenticator-এর ২০২৩ update) এবং backup credential compromised।
• Shoulder Surfing/Screen Capture।
• Malware on Phone: Cerberus, Anubis-এর মতো banking trojan TOTP code screenshot করে।

Push Notification (Microsoft Authenticator, Duo, Okta Verify)

Login attempt-এর সময় registered phone-এ push notification — user "approve" বা "deny" করেন।

শক্তি:

• user-friendly।
• contextual information (location, app)।
• number matching (newer version-এ) — user-কে displayed number type করতে হয়।

দুর্বলতা:

• MFA Fatigue/Bombing: attacker repeatedly login attempt করে যতক্ষণ না user frustrated হয়ে "approve" দেয়। Uber-এর ২০২২ breach-এ contractor-এর Duo session compromised এই route-এ।
• Phishing with Number Matching Bypass: যদি AiTM proxy man-in-the-middle হয়, push request legitimate user-কে যেতে পারে।
• Lost/Stolen Device।

Hardware Token (RSA SecurID, YubiKey OTP)

Physical device যা code generate করে বা USB-এর মাধ্যমে authenticate।

শক্তি: dedicated hardware, tamper-resistant।

দুর্বলতা:

• RSA SecurID-এর ২০১১ breach — seed file leak থেকে token compromise।
• physical theft/loss।
• supply chain attack।

FIDO2/WebAuthn এবং Passkey

W3C-এর WebAuthn এবং FIDO Alliance-এর FIDO2 — phishing-resistant authentication-এর gold standard।

মেকানিজম:

• public-key cryptography।
• private key device-এ stored (secure enclave, TPM)।
• relying party (website) origin-এ bound — phishing site-এ assertion produce হয় না।
• user verification (PIN, biometric) device-এ।

Passkey: FIDO2-এর consumer-friendly evolution। Apple, Google, Microsoft সবাই ২০২২-২০২৩-এ adoption শুরু করেছে। Cross-device sync (iCloud Keychain, Google Password Manager) seamless UX।

শক্তি:

• phishing-resistant।
• replay attack immune।
• SIM swap immune।

দুর্বলতা:

• adoption gap — কিছু legacy system এখনো support করে না।
• device loss recovery process।
• nation-state বা hardware-level attack হলে tamper সম্ভব (rare এবং expensive)।

Adversary-in-the-Middle (AiTM) Phishing

Modern phishing-এর most prevalent technique। Attacker একটি reverse proxy server (Evilginx2, Modlishka, Muraena) host করে যা legitimate site-এর সাথে real-time relay। Victim phishing URL-এ যান, attacker proxy through legitimate site-এ request পাঠায়, MFA challenge-ও proxy-এর through user-এ পৌঁছায়। User MFA complete করেন, attacker session cookie capture করে। Session cookie দিয়ে attacker session resume।

Microsoft-এর Storm-1167 এবং DEV-1101 এই technique-এর pioneer। ২০২২-২৩-এ AiTM phishing scale-এ বেড়েছে। Evilginx-এর open-source available-এর কারণে অনেক commodity attacker-ও এটি ব্যবহার করছে।

MFA Fatigue Attack

Push notification-based 2FA target। Attacker known credential থেকে repeatedly login attempt — minutes/hours-এ ১০০+ push। Frustrated user accidentally বা accept-of-relief-এ approve।

Uber-এর ২০২২ breach LAPSUS$ এই route-এ। Microsoft customer-এ ২০২৪-এ Russian Storm-2372 (Midnight Blizzard-এর সাথে সম্পর্কিত) similar campaign।

Defense: number matching (Microsoft Authenticator), context display, frequency-based block।

SIM Swap

Telecom provider-কে social engineer (CSR-এ phishing call, insider corruption, KYC document forge)। Number transferred হলে SMS-based 2FA এবং password reset-এর জন্য SMS-based recovery সব attacker-এর কাছে।

High-profile SIM swap victim — Twitter CEO Jack Dorsey (২০১৯), অসংখ্য cryptocurrency holder।

OAuth Consent Phishing

User-কে malicious OAuth app-এ consent দিতে phishing। Consent দিলে attacker-এর কাছে token যা MFA-এর পরের stage — fully bypassed।

Session Hijacking

Browser-এর session cookie/token steal — Raccoon Stealer, RedLine Stealer, LummaC2 infostealer-এর primary objective। Stolen cookie-এ direct authenticated session, MFA-এর প্রয়োজন নেই।

Helpdesk Social Engineering

Scattered Spider-এর signature technique। IT helpdesk-কে call করে claim করে "phone lost, please reset MFA"। MFA reset হলে attacker register করে। MGM, Caesars (২০২৩) এই route-এ breached।

Voice Phishing (Vishing)

Convincing voice call। Banking, IRS, Microsoft tech support impersonation। AI voice cloning-এর rise-এ আরো convincing।

Hardware Attack

Physical access থাকলে hardware token bypass। Trezor-এর old firmware-এ vulnerability, YubiKey-এর কিছু variant-এ side-channel attack — academic context-এ documented।

• Twitter Hack (2020): phone phishing → admin tool access।
• Twilio (2022): SMS phishing → employee credential → customer access।
• Cisco (2022): Yanluowang affiliate-এর MFA fatigue।
• Uber (2022): MFA fatigue + helpdesk social engineering।
• Reddit (2023): phishing → SSO bypass।
• MGM Resorts (2023): helpdesk social engineering by Scattered Spider।
• Microsoft (2024): Midnight Blizzard-এর test account exploitation।
• Okta Support System (2023): stolen credential to support portal।

প্রতিটি case দেখায় কেন "MFA enabled" যথেষ্ট নয় — কোন MFA এবং কীভাবে deploy সেটি determining factor।

NIST SP 800-63B-এর Authenticator Assurance Level (AAL) classification-

• AAL1: single factor (password)।
• AAL2: two factor (password + OTP/push)।
• AAL3: phishing-resistant two factor (hardware key, FIDO2)।

CISA-এর "More than a Password" এবং "Phishing-Resistant MFA" guidance specifically FIDO2/WebAuthn recommend।

Phishing-resistant MFA-এর criteria-

• Cryptographic Verification: shared secret নয়, public-key crypto।
• Origin Binding: relying party-এর origin-এ bound — phishing site-এ work করে না।
• User Presence/Verification: physical interaction (touch), biometric।

Industry leader (Google, Microsoft, Apple, Cloudflare, GitHub) প্রায়ই internal এবং sensitive operation-এ FIDO2-only requirement enforce করছে। Google-এর internal Titan key deployment-এর পর internal phishing successful rate ০% claimed।

Modern IAM platform (Okta, Microsoft Entra ID, Ping Identity) adaptive authentication offer করে — context-aware risk assessment-এর basis-এ MFA challenge trigger।

Risk signal-

• new device।
• new location (impossible travel)।
• unusual time।
• VPN/Tor exit node।
• compromised credential database match।

Low-risk → password sufficient। High-risk → MFA, এমনকি multi-step MFA।

Effective MFA deployment-এর জন্য recommendation-

Phishing-Resistant MFA Mandate:

• Privileged account-এ FIDO2 hardware key (YubiKey, Google Titan Key) require।
• Passkey adoption for regular users।
• SMS-based 2FA phase out (especially high-risk account)।

Number Matching এবং Push Hardening:

• Microsoft Authenticator number matching enforce।
• context info display।
• frequency-based block — short window-এ ৩+ push fail হলে account auto-lock।

Conditional Access Policy:

• compliant device required।
• managed network/known location-এর বাইরে MFA strict।
• application sensitivity-based step-up।

Helpdesk Process Hardening:

• MFA reset-এর জন্য video call verification।
• secondary approver requirement।
• voice biometric (Pindrop, Nuance) integration।
• Scattered Spider-এর script-অনুযায়ী regular red team test।

Session Token Protection:

• short token TTL।
• token binding to device।
• continuous access evaluation (CAE)।
• infostealer detection (browser-based)।

SIM Swap Mitigation:

• carrier-level SIM swap PIN/lock।
• regulatory-driven carrier authentication standard।
• backup MFA factor — FIDO2 or app, not SMS।

User Education:

• MFA fatigue recognition।
• phishing simulation।
• secure password manager।
• account recovery process awareness।

OAuth App Governance:

• consent grant review।
• third-party app approval workflow।
• token revocation capability।

Monitoring:

• impossible travel alert।
• unusual MFA prompt rate alert।
• token replay detection।
• failed authentication pattern analysis।

Recovery Path Security:

• recovery code secure storage।
• backup hardware key।
• offline recovery process।

Vendor-Specific Hardening:

• Microsoft: enable Conditional Access, disable legacy authentication, deploy Authenticator-only, Privileged Identity Management (PIM)।
• Google Workspace: Advanced Protection Program।
• Okta: Okta FastPass, Adaptive MFA।