2FA Bypass — Contourner la double authentification

Auth MFA

Techniques de contournement

# 1. Race condition sur la vérification OTP
for i in {1..20}; do curl -X POST /verify-2fa -d "code=$i" & done

# 2. Endpoint alternatif sans 2FA (/mobile/login oublié)

# 3. Session valide émise AVANT validation 2FA = bypass complet

Défenses

Ne jamais émettre de session valide avant la validation complète du 2FA · Rate limiting strict (3-5 tentatives max) · Cohérence des protections sur tous les points d'entrée