Yahooアカウントキーはどのくらい安全ですか?

私は(10億人ほどの他の人々と一緒に)私のYahoo!について通知を受けました。アカウントが昨日侵害された可能性があります。私はそれについて心配していませんが(それ以来パスワードを変更し、非常に長くて複雑なパスワードを持っていて、それを再利用しません)、彼らは Yahooアカウントキー機能。これは、ログインするとYahoo!に通知を送信する機能です。携帯電話のアプリであり、ログインを続行する前に承認する必要があります。

Yahooを使用するときに、複雑なパスワードを覚えておく必要がなくなります。アカウントにアクセスするためのアカウントキー。サインインするには、携帯電話に送信される通知で[はい]をタップします。アカウントキーを有効にすると、アカウントにパスワードがないため、他の誰もサインインできません。

これは、GoogleTFAオプションであるGooglePromptに似ているようです。これは、単一要素認証よりも確かに優れています。ただし、ここでの違いは、Googleはパスワードとプロンプトを必要としますが、Yahooはパスワードを必要としないことです。したがって、これは単一要素認証であり、異なる要素です。

これは、良い、複雑な、長い、決して再利用されていないパスワード?このような影響を与える可能性のある携帯電話の通知を破壊する既知の方法はありますか?


iOSデバイスを持っており、ストックiOSを実行していますが、他の電話側のリスクに関する詳細を含む回答を歓迎します電話/状況(私のシナリオをカバーしたいのですが、できれば)。 Yahoo!も持っていますアカウントをGoogleアカウントに接続し(Googleプロンプトを使用して2FAで保護されています)、電話をiCloudにバックアップします。 6桁のパスコードと指紋認証があります。私は特に標的型攻撃について心配していません(このようなことを行うのに十分なスキルを持っている人や、標的にする価値のある十分な価値のある情報やお金を持っている人を知らないので、恐れる特別な理由はありません)。これは主に攻撃に関するものです。それは本質的に一般的です。

私はこれらがどのように機能するかの違いを理解することについて心配していません。私は両方をよく理解しています。ここでは、リスクを比較することに重点を置いています。パスワードと、パスワードを使用した1FAに固有のリスクについてはよく理解していますが、モバイル通知を使用した1FAに固有のリスクとその方法についてはよく理解していません。 2つのバランスを取ります。

コメント

  • 理論的にはこれがどれほど安全か、またはYahooのすべてのセキュリティ問題を考慮して実装がどれほど安全かを尋ねていますか。過去に持っていましたか?つまり、パスワードも安全に保存できたのですが、保存されませんでした。
  • ユーザーとして質問していますが、これは通常のパスワードと比較して使用することを選択する必要があります。だから私はそれぞれのいくつかを推測しますか?
  • この機能では、セキュリティは完全にあなたの電話のセキュリティに依存します。ロック解除された電話に誰もアクセスしたことがなく、悪意のあるソフトウェアが電話にインストールされていないことをどの程度信頼していますか?
  • @ SteffenUllrich-電話のセキュリティに関する優れた点。これは重要な考慮事項です。コメントを含めるように回答を更新しました。

回答

ご指摘のとおり、これはTFAではありません。 。アカウントにアクセスするための2つの異なる方法を提供しているだけです。状況に応じて安全と思われる方法を選択できます。パスワード、または物理デバイス(電話など)です。

パスワードの利点: パスワードを知らなくても、提供されているログインメカニズムを介してアカウントにアクセスすることはできません。パスワードが十分に長く複雑で、ブルートフォースでしか推測できない場合は、Yahooがハッキングされ、パスワードハッシュが盗まれたとしても、パスワードがハッキングされる可能性はほとんどありません。変更してください。

パスワードの欠点:知らないうちにパスワードが危険にさらされる可能性があります。たとえば、これは、侵害されたコンピューター(キーロガー)からパスワードを入力した場合、または侵害されたネットワーク(MITM攻撃)を使用しているときに、無効な証明書に関するブラウザーの警告をクリックした場合に発生する可能性があります。もう1つの(セキュリティではなく使いやすさ)欠点は、パスワードが長くて複雑な場合、パスワードマネージャーがインストールされていないコンピューターに手動で入力するのが面倒なことです。

デバイスの利点:ログインするには、誰かがデバイスに物理的にアクセスできる必要があります。 (または、デバイスを紛失した場合に必要なことを実行できる必要があります。電子メールにアクセスし、セキュリティの質問に答えることができるようにして、パスワードをリセットします)。デバイスをお持ちの場合は、現在Yahooアカウントを使用しているユーザーがいないことを確信できます。

デバイスの欠点:誰かがあなたのデバイスにアクセスした場合、その人はあなたのアカウントに簡単にアクセスできます。さらに、デバイスを紛失したり置き忘れたりした場合は、デバイスを再び入手するまでアカウントを使用できません。または、リセットしてアカウントを回復する必要があります。

どちらが良いかあなたの状況では、考慮すべきことがいくつかあります。

  • 公共または共有のコンピューターを頻繁に使用していますか?次に、アカウントキーに傾倒します。
  • デバイスは頻繁にロック解除されたままになっていますか、それとも弱い保護アルゴリズム(簡単なパターン、簡単な4桁のパスコード)を使用していますか?次に、強力なパスワードに傾倒する可能性があります。
  • アカウントにアクセスしたくない他の人があなたの電話にアクセスできますか?それなら、必ずパスワードを使用してください。

この FAQ ページは、アカウントを回復/リセットする方法に関する質問に答えます。

コメント

  • 'パスワード認証方法がまだ存在するかどうかはわかりませんが、Yahooはパスワードを廃止することを提案しているようです。違い。パスワードを使用した場合の1FAのリスクについてはよく理解していると思います。私の質問は、'わからないため、モバイル通知を使用した場合の1FAのリスクを調べようとしています。 'ハック'がいかに簡単かについて。
  • @ joe-同意します。私'回答を更新しました。

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です