Jeg (sammen med en milliard eller deromkring andre mennesker) fik besked om min Yahoo! konto potentielt kompromitteret i går. Mens jeg ikke er bekymret for det (jeg har ændret min adgangskode siden da, har en meget lang og kompleks adgangskode og ikke genbruger det), tog de sig tid til at påpege Yahoo-kontonøgle -funktion. Dette er en funktion, hvor den, når du logger ind, sender en underretning til Yahoo! app på din mobiltelefon, og du skal godkende det, før login kan fortsætte.
Du behøver ikke længere huske komplicerede adgangskoder, når du bruger Yahoo Kontonøgle for at få adgang til din konto. For at logge ind skal du trykke på “Ja” på den meddelelse, vi sender til din mobiltelefon. Når Kontonøgle er aktiveret, er der ingen adgangskode på din konto, så ingen andre end dig kan logge ind.
Dette ligner Google TFA-indstillingen, Google Prompt, hvilket bestemt er bedre end blot enkeltfaktorautentificering. Men forskellen her er, at mens Google kræver adgangskoden OG prompt, kræver Yahoo ikke adgangskoden: så dette er enfaktorautentificering, bare en anden faktor.
Hvor sikker er dette sammenlignet med en god, kompleks, lang, aldrig genbrugt adgangskode? Er der nogen kendte metoder til at undergrave mobiltelefonunderretninger, der kan påvirke noget som dette?
Jeg har en iOS-enhed, der kører iOS på lager, men glæder mig over svar, der indeholder detaljer om risici på telefonsiden for andre telefoner / situationer (dog gerne mit scenario dækket, helst). Jeg har også min Yahoo! konto tilsluttet min Google-konto (som er beskyttet med 2FA ved hjælp af Google Prompt), og sikkerhedskopiere min telefon op til iCloud. Jeg har en 6-cifret adgangskode og godkendelse af fingeraftryk på det. Jeg er ikke særlig bekymret for et målrettet angreb (jeg har ingen særlig grund til at frygte et, ikke kende nogen, der er tilstrækkelig dygtige til at gøre noget som dette eller have nok værdifulde oplysninger eller penge til at være værd at målrette mod); dette handler primært om angreb der er generelle.
Jeg er ikke bekymret for at forstå forskellen i, hvordan disse fungerer; Jeg har en god forståelse af begge dele. Jeg fokuserer her på at forsøge at sammenligne risiciene. Selvom jeg har en god forståelse af adgangskoder og de risici, der er forbundet med 1FA med adgangskoder, har jeg ikke en god fornemmelse af de risici, der er forbundet med 1FA med mobilnotifikationer, og hvordan man afbalancere de to.
Kommentarer
- Spørg du, hvor sikkert dette ville være i teorien, eller hvor sikker implementeringen kunne overveje alle sikkerhedsproblemer Yahoo havde tidligere? Jeg mener, adgangskoder kunne også gemmes sikre, og de gjorde det ikke.
- Jeg spørger som bruger, er det noget, jeg skal vælge at bruge i forhold til min sædvanlige adgangskode. Så jeg gætter på nogle af hver?
- Med denne funktion afhænger sikkerheden fuldt ud af din telefons sikkerhed. Hvor meget stoler du på dig selv, at ingen nogensinde har adgang til din ulåste telefon, og at der ikke installeres nogen ondsindet software på telefonen?
- @SteffenUllrich – glimrende punkt om telefonsikkerhed. Det er en vigtig overvejelse. Jeg har lige opdateret mit svar for at inkludere din kommentar.
Svar
Som du påpeger, er dette ikke TFA . Det giver dig blot 2 forskellige måder at få adgang til din konto på. Du kan vælge, hvordan du føler dig mere sikker i din situation: en adgangskode eller en fysisk enhed (såsom din telefon).
Adgangskodefordele: Ingen skal nogensinde kunne få adgang til din konto via de medfølgende loginmekanismer uden at kende din adgangskode. Hvis dit kodeord er tilstrækkeligt langt og komplekst, så det kun kan gættes via brutal kraft, så selvom Yahoo blev hacket, og adgangskode hashes blev stjålet, er det yderst usandsynligt, at din adgangskode ville blive hacket, før du blev underrettet om, at du skulle skift det.
Adgangskode ulemper: Din adgangskode kan blive kompromitteret uden at du ved det. For eksempel kan dette ske, hvis du indtaster din adgangskode fra en kompromitteret computer (keylogger), eller når du bruger et kompromitteret netværk (MITM-angreb), og du tilfældigvis klikker gennem browseradvarslen om et ugyldigt certifikat. En anden ulempe (brugervenlighed, ikke sikkerhed) er, hvis din adgangskode er lang og kompleks, er det irriterende at indtaste den manuelt på en computer, hvor din adgangskodeadministrator ikke er installeret.
Enhedsfordele: Nogen skal have fysisk adgang til din enhed for at logge ind. (Eller de skal være i stand til at gøre, hvad du skulle gøre, hvis du mistede din enhed: nulstil din adgangskode ved at have adgang til din e-mail og muligvis kunne svare på sikkerhedsspørgsmål om dig).Hvis du har din enhed på dig, kan du være ret sikker på, at ingen i øjeblikket bruger din Yahoo-konto.
Enheds ulemper: Hvis nogen får adgang til din enhed, kan de nemt få adgang til din konto. Desuden, hvis du mister eller placerer din enhed forkert, kan du ikke bruge din konto, før du har din enhed igen, eller du bliver nødt til at gendanne din konto med en nulstilling.
Hvad angår det, der er bedre i din situation nogle ting, du skal overveje:
- Bruger du ofte offentlige eller delte computere? Så vil jeg læne mig mod kontonøglen.
- Bliver din enhed ofte ulåst eller bruger en svag beskyttelsesalgoritme (let mønster, let 4-cifret adgangskode)? Så læn dig måske mod en stærk adgangskode.
- Har andre mennesker adgang til din telefon, som du ikke vil have adgang til din konto? Brug derefter en adgangskode.
Denne FAQ -side besvarer spørgsmål om, hvordan du gendanner / nulstiller din konto.
Kommentarer
- Det ‘ er ikke klart for mig, at adgangskodegodkendelsesmetoden stadig ville eksistere – Yahoo ser ud til at antyde, at adgangskoden ville blive fjernet. Og jeg forstår forskelle. Jeg synes, jeg har en god fornemmelse af, hvor risikabelt 1FA er med adgangskoder. Mit spørgsmål prøver at finde ud af, hvor risikabelt 1FA med mobilunderretninger er, da jeg bare ikke ‘ ikke ved meget om, hvor let det er at ‘ hack ‘.
- @joe – Jeg er enig med dig. Jeg ‘ har opdateret mit svar.