Jai été informé (avec un milliard dautres personnes) de mon compte Yahoo! compte potentiellement compromis hier. Bien que je ne sois pas inquiet à ce sujet (jai changé mon mot de passe depuis, jai un mot de passe très long et complexe et je ne le réutilise pas), ils ont pris le temps de signaler le Clé de compte Yahoo . Il sagit dune fonctionnalité où, lorsque vous vous connectez, il envoie une notification à Yahoo! app sur votre téléphone mobile, et vous devez lapprouver avant que la connexion puisse continuer.
Vous naurez plus besoin de vous souvenir de mots de passe compliqués lorsque vous utilisez Yahoo Clé de compte pour accéder à votre compte. Pour vous connecter, appuyez sur « Oui » dans la notification que nous envoyons sur votre téléphone mobile. Lorsque la clé de compte est activée, il ny a pas de mot de passe pour votre compte, donc personne dautre que vous ne peut se connecter.
Cela semble similaire à loption Google TFA, Google Prompt, qui est certainement meilleure que la simple authentification à un facteur. Mais la différence ici est que si Google exige le mot de passe ET linvite, Yahoo na pas besoin du mot de passe: il sagit donc dune authentification à un facteur, juste un facteur différent.
Dans quelle mesure est-ce sécurisé par rapport à un bon, complexe, long, mot de passe jamais réutilisé? Existe-t-il des méthodes connues pour contourner les notifications de téléphone mobile qui pourraient affecter quelque chose comme ça?
Jai un appareil iOS, exécutant le stock iOS, mais les réponses sont les bienvenues qui incluent des détails sur les risques côté téléphone pour dautres téléphones / situations (bien que jaimerais que mon scénario soit couvert, de préférence). Jai aussi mon Yahoo! compte connecté à mon compte Google (qui est protégé par 2FA, à laide de Google Prompt), et sauvegardez mon téléphone sur iCloud. Jai un mot de passe à 6 chiffres et une authentification par empreinte digitale à ce sujet. Je ne suis pas particulièrement préoccupé par une attaque ciblée (je nai aucune raison particulière den craindre une, je ne connais personne qui est suffisamment compétent pour faire quelque chose comme ça ni qui dispose de suffisamment dinformations ou dargent pour valoir la peine dêtre ciblé); il sagit principalement dattaques qui sont de nature générale.
Je ne suis pas préoccupé par la compréhension de la différence dans leur fonctionnement; Jai une bonne compréhension des deux. Je me concentre ici sur l’essai de comparer les risques; même si j’ai une bonne compréhension des mots de passe et des risques inhérents à 1FA avec mots de passe, je n’ai pas une bonne idée des risques inhérents à 1FA avec les notifications mobiles, et comment équilibrer les deux.
Commentaires
- Demandez-vous dans quelle mesure cela serait en théorie sûr ou dans quelle mesure limplémentation pourrait être sécurisée compte tenu de tous les problèmes de sécurité Yahoo eu dans le passé? Je veux dire, les mots de passe pourraient également être stockés en toute sécurité et ils ne lont pas fait.
- Je demande en tant quutilisateur, est-ce quelque chose que je devrais choisir dutiliser par rapport à mon mot de passe habituel. Donc, je suppose que certains de chacun?
- Avec cette fonctionnalité, la sécurité dépend entièrement de la sécurité de votre téléphone. Dans quelle mesure vous croyez-vous que personne na jamais accès à votre téléphone déverrouillé et quaucun logiciel malveillant nest installé sur le téléphone?
- @SteffenUllrich – excellent point sur la sécurité du téléphone. Cest une considération importante. Je viens de mettre à jour ma réponse pour inclure votre commentaire.
Réponse
Comme vous le faites remarquer, ce nest pas TFA . Il vous fournit simplement 2 façons différentes daccéder à votre compte. Vous pouvez choisir la manière dont vous vous sentez la plus sûre pour votre situation: un mot de passe ou un appareil physique (tel que votre téléphone).
Avantages du mot de passe: Personne ne devrait jamais pouvoir accéder à votre compte via les mécanismes de connexion fournis sans connaître votre mot de passe. Si votre mot de passe est suffisamment long et complexe pour quil ne puisse être deviné que par la force brute, alors même si Yahoo a été piraté et que les hachages de mot de passe ont été volés, il est extrêmement improbable que votre mot de passe soit piraté avant que vous ne soyez informé que vous devez changez-le.
Inconvénients du mot de passe: Votre mot de passe pourrait être compromis sans que vous le sachiez. Par exemple, cela peut arriver si vous entrez votre mot de passe à partir dun ordinateur compromis (keylogger) ou lorsque vous utilisez un réseau compromis (attaque MITM) et que vous cliquez sur lavertissement du navigateur concernant un certificat invalide. Un autre inconvénient (utilisabilité, pas sécurité) est que si votre mot de passe est long et complexe, il est ennuyeux de le saisir manuellement sur un ordinateur où votre gestionnaire de mots de passe nest pas installé.
Avantages de lappareil: Quelquun devrait avoir un accès physique à votre appareil pour se connecter. (Ou ils doivent être en mesure de faire ce que vous auriez à faire si vous perdiez votre appareil: réinitialiser votre mot de passe en ayant accès à votre e-mail et éventuellement en pouvant répondre aux questions de sécurité vous concernant).Si vous avez votre appareil sur vous, vous pouvez être à peu près certain que personne nutilise actuellement votre compte Yahoo.
Inconvénients de lappareil: Si quelquun accède à votre appareil, il peut facilement accéder à votre compte. De plus, si vous perdez ou égarez votre appareil, vous ne pourrez pas utiliser votre compte tant que vous ne laurez pas à nouveau, ou vous devrez récupérer votre compte avec une réinitialisation.
Quant à savoir ce qui est le mieux dans votre situation, certaines choses à considérer:
- Utilisez-vous fréquemment des ordinateurs publics ou partagés? Ensuite, je me pencherais vers la clé de compte.
- Votre appareil est-il fréquemment déverrouillé ou utilise-t-il un algorithme de protection faible (modèle simple, code daccès facile à 4 chiffres)? Alors peut-être opter pour un mot de passe fort.
- Dautres personnes ont-elles accès à votre téléphone et vous ne souhaitez pas avoir accès à votre compte? Alors utilisez certainement un mot de passe.
Cette page de FAQ répond aux questions sur la façon de récupérer / réinitialiser votre compte.
Commentaires
- Il ‘ nest pas clair pour moi que la méthode dauthentification par mot de passe existerait toujours – Yahoo semble suggérer que le mot de passe serait supprimé. Et je comprends le différences. Je pense avoir une bonne idée du niveau de risque de 1FA avec les mots de passe. Ma question est de savoir à quel point 1FA est risqué avec les notifications mobiles, car je ne sais ‘ pas combien il est facile de ‘ pirater ‘.
- @joe – Je suis d’accord avec vous. Je ‘ jai mis à jour ma réponse.