Engem (vagy kb. egymilliárd emberrel együtt) értesítettem a Yahoo! tegnap potenciálisan veszélybe került. Bár nem aggódom emiatt (azóta megváltoztattam a jelszavamat, nagyon hosszú és összetett jelszavam van, és nem használom újra), időt szántak arra, hogy rámutassanak a Yahoo fiókkulcs funkció. Ez egy olyan szolgáltatás, amikor bejelentkezéskor értesítést küld a Yahoo! alkalmazást a mobiltelefonján, és ezt jóvá kell hagynia, mielőtt a bejelentkezés folytatódhatna.
A Yahoo használatakor már nem kell emlékeznie a bonyolult jelszavakra. Fiókkulcs a fiókjához való hozzáféréshez. A bejelentkezéshez koppintson az “Igen” elemre a mobiltelefonjára küldött értesítésben. Ha a Fiókkulcs engedélyezve van, a fiókjában nincs jelszó, így csak Ön jelentkezhet be.
Ez hasonlónak tűnik a Google TFA opcióhoz, a Google Prompt-hoz, amely minden bizonnyal jobb, mint pusztán egyfaktoros hitelesítés. De a különbség itt az, hogy míg a Google megköveteli a jelszót ÉS a promptot, a Yahoo nem igényli a jelszót: tehát ez egy együtthatós hitelesítés, csak egy másik tényező.
Mennyire biztonságos ez egy jó, összetett, hosszú, soha nem használt új jelszó? Van-e olyan ismert módszer a mobiltelefon-értesítések felforgatására, amelyek hatással lehetnek ilyesmire?
Van egy iOS-eszközöm, jelenleg futó iOS-t használok, de örömmel fogadok olyan válaszokat, amelyek részletesen tartalmazzák a telefonos oldal egyéb kockázatait. telefonok / helyzetek (bár szeretném, ha a forgatókönyvem lehetőleg szerepelne) Megvan a Yahoo! a Google-fiókomba (amely a 2FA-val védett, a Google Prompt használatával) csatlakozik, és készítsen biztonsági másolatot a telefonról az iCloud-ra. Van rajta 6 jegyű jelszó és ujjlenyomat-hitelesítés. Nem különösebben aggódom egy célzott támadás miatt (nincs különösebb okom félni az ilyet, mert nem ismerek senkit, aki kellően hozzáértő ahhoz, hogy ilyesmit csináljon, vagy ne rendelkezzen elegendő értékes információval vagy pénzzel ahhoz, hogy érdemes legyen megcélozni); ez elsősorban a támadásokról szól. amelyek általános jellegűek.
Nem érdekel, hogy megértsem a különbségeket ezek működésében; Mindkettőt jól értem. Itt arra összpontosítok, hogy megpróbáljam összehasonlítani a kockázatokat; jól ismerem a jelszavakat és az 1FA-ban rejlő kockázatokat a jelszavakkal, de nem értem jól az 1FA-ban rejlő kockázatokat a mobil értesítésekkel, és azt, hogyan lehet egyensúlyban van a kettő.
Megjegyzések
- Azt kérdezi, hogy ez elméletileg mennyire lenne biztonságos, vagy mennyire biztonságos lehetne a megvalósítás, figyelembe véve a Yahoo összes biztonsági problémáját volt a múltban? Úgy értem, hogy a jelszavakat is biztonságosan lehet tárolni, és ők nem ezt tették.
- Felhasználóként kérdezem, hogy ezt kell-e választanom a szokásos jelszavam helyett. Tehát azt hiszem, mindegyikből néhányat?
- Ezzel a funkcióval a biztonság teljes mértékben a telefon biztonságától függ. Mennyire bízik magában, hogy senki sem fér hozzá soha a zárolatlan telefonjához, és hogy rosszindulatú szoftverek nem kerülnek a telefonra?
- @SteffenUllrich – kiváló pont a telefon biztonságával kapcsolatban. Ez fontos szempont. Most frissítettem a válaszomat, hogy belefoglaljam a megjegyzését.
Válasz
Amint rámutatott, ez nem TFA . Ez egyszerűen két különböző módot kínál a fiókjához való hozzáféréshez. Kiválaszthatja, hogy Ön hogyan érzi magát biztonságosabbnak az Ön helyzete szempontjából: jelszó vagy fizikai eszköz (például telefonja).
Jelszó előnyei: Soha senki ne férhessen hozzá a fiókjához a megadott bejelentkezési mechanizmusok révén a jelszó ismerete nélkül. Ha a jelszava elég hosszú és összetett, így csak durva erővel lehet kitalálni, akkor még akkor is, ha feltörték a Yahoo-t és ellopták a jelszó-kivonatokat, rendkívül valószínűtlen, hogy a jelszavát feltörjék, mielőtt értesítést kapnának arról, hogy meg kell változtassa meg.
Jelszó hátrányai: A jelszavát veszélyeztetheti anélkül, hogy tudná. Ez például akkor fordulhat elő, ha egy sérült számítógépről (keylogger) vagy egy sérült hálózat használatakor (MITM támadás) írja be a jelszavát, és véletlenül átkattintja a böngészőt egy érvénytelen tanúsítványra vonatkozó figyelmeztetésben. További (használhatósági, nem biztonsági) hátrány, ha a jelszó hosszú és összetett, bosszantó, ha manuálisan beírja azt a számítógépre, ahol a jelszókezelő nincs telepítve.
Eszköz előnyei: Valakinek fizikai hozzáféréssel kell rendelkeznie az eszközéhez a bejelentkezéshez. (Vagy képesnek kell lennie arra, hogy tegye meg, amit tenned kellene, ha elveszítené a készülékét: állítsa vissza a jelszavát azáltal, hogy hozzáfér az e-mailjéhez, és képesnek kell lennie arra, hogy megválaszolja az Önre vonatkozó biztonsági kérdéseket).Ha rajtad van az eszközöd, akkor biztos lehetsz benne, hogy senki sem használja a Yahoo-fiókodat.
Eszközhátrányok: Ha valaki hozzáférést kap az eszközéhez, könnyen hozzáférhet a fiókjához. Továbbá, ha elveszíti vagy rosszul helyezi el az eszközét, addig nem tudja használni a fiókját, amíg újra nem rendelkezik eszközével, vagy vissza kell állítania fiókját egy visszaállítással.
Ami jobb az Ön helyzetében néhány megfontolandó dolog:
- Gyakran használ nyilvános vagy megosztott számítógépeket? Ezután a Fiókkulcs felé hajolok.
- Gyakran zárva marad a készüléke, vagy gyenge védelmi algoritmust használ (könnyű minta, könnyű négyjegyű kód)? Akkor hajoljon egy erős jelszó felé.
- Van-e másoknak hozzáférése a telefonjához, amelyhez nem akar hozzáférni a fiókjához? Ezután mindenképpen használjon jelszót.
Ez az GYIK oldal megválaszolja a fiók helyreállításával / alaphelyzetbe állításával kapcsolatos kérdéseket.
Megjegyzések
- Ez ‘ nem világos számomra, hogy a jelszó-hitelesítési módszer továbbra is létezne – a Yahoo úgy tűnik, hogy a jelszó megszüntetése lehetséges. És megértem különbségek. Azt hiszem, jól érzékelem, hogy az 1FA mennyire kockázatos a jelszavakkal; a kérdésemmel azt próbálom kideríteni, hogy mennyire kockázatos az 1FA a mobil értesítésekkel, mivel csak nem tudom ‘ sokat arról, hogy mennyire könnyű ‘ hack ‘.
- @joe – egyetértek veled. I ‘ frissítettem a válaszomat.