Ich (zusammen mit ungefähr einer Milliarde anderen Personen) wurde über mein Yahoo! Konto möglicherweise gestern kompromittiert. Obwohl ich mir darüber keine Sorgen mache (ich habe mein Passwort seitdem geändert, habe ein sehr langes und komplexes Passwort und verwende es nicht wieder), haben sie sich die Zeit genommen, um auf die Yahoo Account Key -Funktion. Dies ist eine Funktion, bei der beim Anmelden eine Benachrichtigung an Yahoo! App auf Ihrem Mobiltelefon, und Sie müssen dies genehmigen, bevor die Anmeldung fortgesetzt werden kann.
Sie müssen sich bei Verwendung von Yahoo keine komplizierten Passwörter mehr merken Kontoschlüssel, um auf Ihr Konto zuzugreifen. Um sich anzumelden, tippen Sie in der Benachrichtigung, die wir an Ihr Mobiltelefon senden, auf „Ja“. Wenn der Kontoschlüssel aktiviert ist, enthält Ihr Konto kein Kennwort, sodass sich nur Sie anmelden können.
Dies scheint der Google TFA-Option Google Prompt zu ähneln, die sicherlich besser ist als nur die Einzelfaktorauthentifizierung. Der Unterschied besteht jedoch darin, dass Google zwar das Kennwort UND die Eingabeaufforderung benötigt, Yahoo jedoch nicht das Kennwort. Dies ist also eine Einzelfaktorauthentifizierung, nur ein anderer Faktor.
Wie sicher ist dies im Vergleich zu a gutes, komplexes, langes, nie wiederverwendetes Passwort? Gibt es bekannte Methoden, um Handybenachrichtigungen zu untergraben, die sich auf so etwas auswirken könnten?
Ich habe ein iOS-Gerät mit Standard-iOS, begrüße aber Antworten, die Details zu telefonseitigen Risiken für andere enthalten Telefone / Situationen (obwohl mein Szenario vorzugsweise behandelt werden soll). Ich habe auch mein Yahoo! Konto, das mit meinem Google-Konto (das mit 2FA mithilfe von Google Prompt geschützt ist) verbunden ist, und Sicherung meines Telefons auf iCloud. Ich habe einen 6-stelligen Passcode und eine Fingerabdruck-Authentifizierung. Ich mache mir keine besonderen Sorgen um einen gezielten Angriff (ich habe keinen besonderen Grund, einen zu fürchten, kenne niemanden, der über ausreichende Fähigkeiten verfügt, um so etwas zu tun, und habe nicht genügend wertvolle Informationen oder Geld, um einen Angriff wert zu sein). Hier geht es in erster Linie um Angriffe das ist allgemeiner Natur.
Ich bin nicht besorgt darüber, den Unterschied in der Funktionsweise dieser zu verstehen; Ich habe ein gutes Verständnis von beiden. Ich konzentriere mich hier darauf, die Risiken zu vergleichen. Obwohl ich ein gutes Verständnis für Passwörter und die mit 1FA verbundenen Risiken mit Passwörtern habe, habe ich kein gutes Gespür für die mit 1FA verbundenen Risiken bei mobilen Benachrichtigungen und deren Vorgehensweise balancieren Sie die beiden aus.
Kommentare
- Fragen Sie sich, wie sicher dies theoretisch wäre oder wie sicher die Implementierung alle Sicherheitsprobleme von Yahoo berücksichtigen könnte hatte in der Vergangenheit? Ich meine, Passwörter könnten auch sicher gespeichert werden und sie haben es nicht getan.
- Ich frage als Benutzer, ob ich dies im Vergleich zu meinem üblichen Passwort verwenden sollte. Also denke ich einige von jedem?
- Mit dieser Funktion hängt die Sicherheit vollständig von der Sicherheit Ihres Telefons ab. Wie sehr vertrauen Sie sich darauf, dass niemand jemals Zugriff auf Ihr entsperrtes Telefon hat und dass keine schädliche Software auf dem Telefon installiert wird?
- @SteffenUllrich – ein hervorragender Punkt zur Telefonsicherheit. Das ist eine wichtige Überlegung. Ich habe gerade meine Antwort aktualisiert, um Ihren Kommentar aufzunehmen.
Antwort
Wie Sie hervorheben, handelt es sich nicht um TFA . Es bietet Ihnen einfach zwei verschiedene Möglichkeiten, auf Ihr Konto zuzugreifen. Sie können wählen, wie Sie sich für Ihre Situation sicherer fühlen: ein Passwort oder ein physisches Gerät (z. B. Ihr Telefon).
Vorteile des Passworts: Niemand sollte jemals über die bereitgestellten Anmeldemechanismen auf Ihr Konto zugreifen können, ohne Ihr Passwort zu kennen. Wenn Ihr Passwort so lang und komplex ist, dass es nur mit brutaler Gewalt erraten werden kann, ist es äußerst unwahrscheinlich, dass Ihr Passwort gehackt wird, bevor Sie benachrichtigt werden, dass dies erforderlich ist, selbst wenn Yahoo gehackt und Passwort-Hashes gestohlen wurden Ändern Sie es.
Kennwortnachteile: Ihr Kennwort kann kompromittiert werden, ohne dass Sie es wissen. Dies kann beispielsweise passieren, wenn Sie Ihr Kennwort von einem kompromittierten Computer (Keylogger) eingeben oder wenn Sie ein kompromittiertes Netzwerk verwenden (MITM-Angriff) und zufällig durch die Browserwarnung über ein ungültiges Zertifikat klicken. Ein weiterer Nachteil (Benutzerfreundlichkeit, nicht Sicherheit) besteht darin, dass es bei langen und komplexen Passwörtern ärgerlich ist, es manuell auf einem Computer einzugeben, auf dem Ihr Passwort-Manager nicht installiert ist.
Gerätevorteile: Jemand muss physischen Zugriff auf Ihr Gerät haben, um sich anzumelden. (Oder sie müssen in der Lage sein, das zu tun, was Sie tun müssten, wenn Sie Ihr Gerät verloren hätten: Setzen Sie Ihr Passwort zurück, indem Sie Zugriff auf Ihre E-Mail haben und möglicherweise Sicherheitsfragen über Sie beantworten können.)Wenn Sie Ihr Gerät an sich haben, können Sie ziemlich sicher sein, dass derzeit niemand Ihr Yahoo-Konto verwendet.
Geräte-Nachteile: Wenn jemand Zugriff auf Ihr Gerät erhält, kann er problemlos auf Ihr Konto zugreifen. Wenn Sie Ihr Gerät verlieren oder verlegen, können Sie Ihr Konto erst verwenden, wenn Sie Ihr Gerät wieder haben, oder Sie müssen Ihr Konto mit einem Reset wiederherstellen.
Was ist besser? In Ihrer Situation sind einige Dinge zu beachten:
- Verwenden Sie häufig öffentliche oder gemeinsam genutzte Computer? Dann würde ich mich zum Kontoschlüssel neigen.
- Wird Ihr Gerät häufig entsperrt oder verwendet es einen schwachen Schutzalgorithmus (einfaches Muster, einfacher 4-stelliger Passcode)? Dann neigen Sie vielleicht zu einem sicheren Passwort.
- Haben andere Personen Zugriff auf Ihr Telefon, auf das Sie keinen Zugriff haben möchten? Verwenden Sie dann auf jeden Fall ein Passwort.
Diese FAQ -Seite beantwortet Fragen zum Wiederherstellen / Zurücksetzen Ihres Kontos.
Kommentare
- Es ist ‚ mir nicht klar, dass die Passwortauthentifizierungsmethode noch existieren würde – Yahoo scheint vorzuschlagen, dass das Passwort abgeschafft wird. Und ich verstehe das Unterschiede. Ich glaube, ich habe ein gutes Gespür dafür, wie riskant 1FA mit Passwörtern ist. Meine Frage versucht herauszufinden, wie riskant 1FA mit mobilen Benachrichtigungen ist, da ich ‚ nicht weiß Viel darüber, wie einfach es ist, ‚ ‚ zu hacken.
- @joe – Ich stimme Ihnen zu. Ich ‚ Ich habe meine Antwort aktualisiert.