Io (insieme a circa un miliardo di altre persone) sono stato informato del mio account Yahoo! account potenzialmente compromesso ieri. Anche se non sono preoccupato per questo (ho cambiato la mia password da allora, ho una password molto lunga e complessa e non la riutilizzo), si sono presi il tempo per sottolineare il Chiave account Yahoo . Questa è una funzione in cui, quando accedi, invia una notifica a Yahoo! app sul tuo telefono cellulare e devi approvarlo prima che laccesso possa continuare.
Non avrai più bisogno di ricordare password complicate quando utilizzi Yahoo Chiave account per accedere al tuo account. Per accedere, tocca “Sì” sulla notifica che inviamo al tuo telefono cellulare. Con la chiave account abilitata, non cè password sul tuo account, quindi nessun altro oltre a te può accedere.
Sembra simile allopzione TFA di Google, Google Prompt, che è certamente migliore della semplice autenticazione a fattore singolo. Ma la differenza qui è che mentre Google richiede la password E il prompt, Yahoo non richiede la password: quindi questa è unautenticazione a un fattore, solo un fattore diverso.
Quanto è sicuro questo, rispetto a un password buona, complessa, lunga, mai riutilizzata? Esistono metodi noti per sovvertire le notifiche del telefono cellulare che potrebbero influire su qualcosa di simile?
Ho un dispositivo iOS, che esegue iOS di serie, ma accolgo con favore le risposte che includono dettagli sui rischi lato telefono per altri telefoni / situazioni (anche se vorrei che il mio scenario fosse coperto, preferibilmente). Ho anche il mio Yahoo! account collegato al mio account Google (che è protetto con 2FA, utilizzando Google Prompt) e ripristina il mio telefono su iCloud. Ho un codice di accesso a 6 cifre e lautenticazione dellimpronta digitale su questo. Non sono particolarmente preoccupato per un attacco mirato (non ho alcun motivo particolare per temerne uno, non conoscendo nessuno che sia sufficientemente abile per fare qualcosa del genere né avendo abbastanza informazioni o denaro sufficienti per valere la pena prendere di mira); si tratta principalmente di attacchi che sono di natura generale.
Non mi interessa capire la differenza nel modo in cui funzionano; Ho una buona comprensione di entrambi. Mi sto concentrando qui sul tentativo di confrontare i rischi; mentre ho una buona comprensione delle password e dei rischi inerenti a 1FA con password, non ho un buon senso dei rischi inerenti a 1FA con notifiche mobili e come bilanciare i due.
Commenti
- Stai chiedendo quanto sarebbe sicuro questo in teoria o quanto potrebbe essere sicura limplementazione considerando tutti i problemi di sicurezza Yahoo avuto in passato? Voglio dire, anche le password potevano essere archiviate in modo sicuro e non lo facevano.
- Chiedo come utente, è qualcosa che dovrei scegliere di usare rispetto alla mia solita password. Quindi immagino alcuni di ciascuno?
- Con questa funzione la sicurezza dipende completamente dalla sicurezza del tuo telefono. Quanto ti fidi di te stesso che nessuno ha mai accesso al tuo telefono sbloccato e che nessun software dannoso viene installato sul telefono?
- @SteffenUllrich – eccellente punto sulla sicurezza del telefono. Questa è una considerazione importante. Ho appena aggiornato la mia risposta per includere il tuo commento.
Risposta
Come hai sottolineato, questo non è TFA . Ti sta semplicemente fornendo 2 modi diversi per accedere al tuo account. Puoi scegliere il modo in cui ritieni sia più sicuro per la tua situazione: una password o un dispositivo fisico (come il tuo telefono).
Vantaggi della password: Nessuno dovrebbe mai essere in grado di accedere al tuo account tramite i meccanismi di accesso forniti senza conoscere la tua password. Se la tua password è sufficientemente lunga e complessa da poter essere indovinata solo con la forza bruta, anche se Yahoo è stato violato e gli hash delle password sono stati rubati, è estremamente improbabile che la tua password venga violata prima che ti venga notificato che devi farlo cambiarla.
Svantaggi della password: La tua password potrebbe essere compromessa senza che tu lo sappia. Ad esempio, ciò potrebbe accadere se inserisci la tua password da un computer compromesso (keylogger) o quando utilizzi una rete compromessa (attacco MITM) e ti capita di fare clic sullavviso del browser su un certificato non valido. Un altro svantaggio (usabilità, non sicurezza) è che se la tua password è lunga e complessa, è fastidioso inserirla manualmente su un computer in cui il tuo gestore di password non è installato.
Vantaggi del dispositivo: Qualcuno dovrebbe avere accesso fisico al tuo dispositivo per effettuare il login. (Oppure devono essere in grado di fare ciò che dovresti fare se hai perso il dispositivo: reimpostare la password accedendo alla tua posta elettronica ed eventualmente essere in grado di rispondere a domande di sicurezza su di te).Se hai il tuo dispositivo su di te, puoi essere abbastanza certo che nessuno stia attualmente utilizzando il tuo account Yahoo.
Svantaggi del dispositivo: Se qualcuno riesce ad accedere al tuo dispositivo, può accedere facilmente al tuo account. Inoltre, se perdi o smarrisci il tuo dispositivo, non sarai in grado di utilizzare il tuo account fino a quando non avrai di nuovo il tuo dispositivo, o dovrai recuperare il tuo account con un ripristino.
Per quanto riguarda quale è meglio nella tua situazione, alcune cose da considerare:
- Usi spesso computer pubblici o condivisi? Quindi preferirei la chiave dellaccount.
- Il tuo dispositivo viene spesso lasciato sbloccato o utilizza un algoritmo di protezione debole (schema facile, codice di accesso facile a 4 cifre)? Quindi forse propendi una password complessa.
- Altre persone hanno accesso al tuo telefono e tu non vuoi che abbiano accesso al tuo account? Allora usa sicuramente una password.
Questa pagina di Domande frequenti risponde a domande su come recuperare / reimpostare laccount.
Commenti
- ‘ non mi è chiaro che il metodo di autenticazione della password esista ancora: Yahoo sembra suggerire che la password venga eliminata. E capisco il differenze. Penso di avere una buona idea di quanto sia rischioso 1FA con le password; la mia domanda è cercare di scoprire quanto sia rischioso 1FA con le notifiche mobili, dato che non ‘ lo so quanto è facile ‘ hack ‘.
- @joe – Sono daccordo con te. Io ‘ ho aggiornato la mia risposta.