Já (spolu s asi miliardou dalších lidí) jsem byl informován o svém Yahoo! účet byl včera potenciálně ohrožen. I když si z toho nedělám starosti (od té doby jsem změnil heslo, mám velmi dlouhé a složité heslo a znovu jej nepoužívám), našli si čas a poukázali na Klíč účtu Yahoo . Jedná se o funkci, při které při přihlášení odešle oznámení Yahoo! aplikace na vašem mobilním telefonu a musíte s tím souhlasit, než bude možné pokračovat v přihlašování.
Při používání Yahoo si již nebudete muset pamatovat složitá hesla. Klíč účtu pro přístup k vašemu účtu. Chcete-li se přihlásit, klepněte na oznámení „Ano“ v oznámení, které zasíláme na váš mobilní telefon. S povoleným klíčem účtu není ve vašem účtu žádné heslo, takže se můžete přihlásit pouze vy.
Vypadá to podobně jako volba Google TFA, Google Prompt, která je určitě lepší než jen jednofaktorové ověřování. Rozdíl je však v tom, že zatímco Google vyžaduje heslo A výzvu, Yahoo heslo nevyžaduje: jedná se tedy o jednofaktorové ověřování, jen o jiný faktor.
Jak bezpečné je to ve srovnání s dobré, složité, dlouhé, nikdy nepoužívané heslo? Existují nějaké známé metody pro podvádění oznámení z mobilních telefonů, které by mohly něco takového ovlivnit?
Mám zařízení iOS s operačním systémem iOS, ale vítám odpovědi, které obsahují podrobnosti o telefonních rizicích pro ostatní telefony / situace (i když bych chtěl, aby byl můj scénář pokryt, nejlépe). Mám také svůj Yahoo! účet připojený k mému účtu Google (který je chráněn 2FA pomocí Google Prompt) a zálohovat telefon na iCloud. Mám na to šestimístný přístupový kód a ověřování otisků prstů. Cíleného útoku se zvlášť neobávám (nemám žádný zvláštní důvod se ho bát, neznám nikoho, kdo je dostatečně zručný, aby něco takového udělal, ani nemám dostatek cenných informací nebo peněz, aby to stálo za cíl); jedná se především o útoky které mají obecnou povahu.
Nezajímá mě pochopení rozdílu v tom, jak fungují; Dobře rozumím oběma. Zaměřuji se zde na snahu porovnat rizika; i když dobře rozumím heslům a rizikům spojeným s 1FA s hesly, nemám dobrý přehled o rizicích spojených s 1FA s mobilními oznámeními a jak vyvážte je.
Komentáře
- Ptáte se, jak by to teoreticky bylo bezpečné nebo jak bezpečná by implementace mohla být vzhledem ke všem bezpečnostním problémům Yahoo měl v minulosti? Myslím tím, že hesla mohla být uložena také bezpečně a oni to neudělali.
- Ptám se jako uživatel, je to něco, co bych se měl rozhodnout použít oproti mému obvyklému heslu. Takže myslím, že každý z nich?
- Díky této funkci zabezpečení plně závisí na zabezpečení vašeho telefonu. Nakolik si věříte, že k vašemu odemčenému telefonu nikdo nikdy neměl přístup a že v něm není nainstalován žádný škodlivý software?
- @SteffenUllrich – skvělá poznámka o zabezpečení telefonu. To je důležitá úvaha. Právě jsem aktualizoval svoji odpověď tak, aby obsahovala váš komentář.
Odpověď
Jak podotknete, nejde o TFA . Jednoduše vám poskytuje 2 různé způsoby přístupu k vašemu účtu. Můžete si vybrat, jakým způsobem si myslíte, že je pro vaši situaci bezpečnější: heslo nebo fyzické zařízení (například váš telefon).
Výhody hesla: Nikdo by nikdy neměl mít možnost získat přístup k vašemu účtu prostřednictvím poskytnutých přihlašovacích mechanismů bez znalosti vašeho hesla. Pokud je vaše heslo dostatečně dlouhé a složité na to, aby ho bylo možné odhadnout pouze hrubou silou, pak i kdyby došlo k hacknutí Yahoo a ke krádeži hesel, je extrémně nepravděpodobné, že by vaše heslo bylo hacknuto dříve, než budete upozorněni, že je třeba změňte jej.
Nevýhody hesla: Vaše heslo může být prolomeno, aniž byste o tom věděli. Například k tomu může dojít, pokud zadáte heslo z napadeného počítače (keylogger) nebo když používáte ohroženou síť (útok MITM) a náhodou kliknete na varování prohlížeče o neplatném certifikátu. Další nevýhodou (použitelnost, nikoli bezpečnost) je, že pokud je vaše heslo dlouhé a složité, je nepříjemné jej ručně zadávat v počítači, kde není nainstalován správce hesel.
Výhody zařízení: Někdo by pro přihlášení potřeboval fyzický přístup k vašemu zařízení. (Nebo musí být schopni dělat to, co byste museli udělat, pokud jste zařízení ztratili: resetujte heslo tím, že budete mít přístup k e-mailu a možná budete moci zodpovědět bezpečnostní otázky o vás).Pokud máte zařízení u sebe, můžete si být jisti, že váš účet Yahoo v současné době nikdo nepoužívá.
Nevýhody zařízení: Pokud někdo získá přístup k vašemu zařízení, může snadno získat přístup k vašemu účtu. Pokud navíc ztratíte nebo ztratíte své zařízení, nebudete moci svůj účet používat, dokud jej znovu nebudete mít, nebo budete muset svůj účet obnovit pomocí resetování.
Co se týče lepšího ve vaší situaci je třeba zvážit několik věcí:
- Používáte často veřejné nebo sdílené počítače? Potom bych se přiklonil ke klíči účtu.
- Je vaše zařízení často odemčeno nebo používá slabý ochranný algoritmus (snadný vzor, snadný čtyřmístný přístupový kód)? Pak se možná přikloňte k silnému heslu.
- Mají k vašemu telefonu přístup další lidé, kterým přístup k účtu nepřejete? Pak určitě použijte heslo.
Tato stránka Časté dotazy odpovídá na otázky, jak obnovit / obnovit váš účet.
Komentáře
- Je mi ‚ jasné, že metoda ověřování pomocí hesla bude stále existovat – zdá se, že Yahoo naznačuje, že heslo bude odstraněno. A chápu, rozdíly. Myslím, že mám dobrý přehled o tom, jak riskantní je 1FA s hesly; moje otázka se pokouší zjistit, jak riskantní je 1FA s mobilními oznámeními, protože prostě ‚ nevím hodně o tom, jak snadné je ‚ hacknout ‚.
- @joe – souhlasím s vámi. I ‚ aktualizoval jsem svou odpověď.