Về mặt quản lý phiên:
- Không có 2FA cho chức năng “tắt 2FA” => lỗi
- Không có 2FA cho chức năng đổi mật khẩu
- Phiên được tạo hoặc được ủy quyền ngay sau bước xác thực mật khẩu, sau mới xác thực 2FA => lỗi
- Kích hoạt 2FA nhưng các phiên trước đó vẫn dùng được => maybe lỗi, các phiên có thể bị ăn cắp.
Về mặt Logic:
- OTP có thể được sử dụng lại cho các chức năng khác => lỗi.
- OTP được sử dụng lại bởi user khác.
- OTP được làm mới trên giao diện nhưng vẫn dùng lại được.
- OTP làm mới với giá trị không đổi => cái này làm gì có trên đời -.-
Về mặt vượt ngưỡng:
- Có thể gửi SMS OTP thoải mái, liên tục, không bị hạn chế => Tốn tiền viễn thông của Tổ chức.
- Bypass trường hợp 1: Bypass limit dựa trên Cookie, IP, Session
- Không chặn bruteforce
Khác:
- OTP nằm trong gói tin trả về (header, body…) => 2FA failed
- OTP sinh ra dựa vào timestamp => cùng gửi đồng thời OTP cho nhiều user một lúc, nếu ok hết => lỗi
- Khóa sau vài lần đăng nhập sai=> nếu khóa trên tất cả thiết bị khác thì maybe là lỗi DoS.
- Web và Mobile sử dụng hai phiên bản 2FA khác nhau => hiếm
Tham khảo: twitter.com/hackerscrolls/status/1256276376019230720
Nhat Truong Blog 