Hoe veilig is Yahoo Account Key?

Ik (samen met een miljard andere mensen) werd op de hoogte gebracht van mijn Yahoo! account mogelijk gecompromitteerd gisteren. Hoewel ik me daar geen zorgen over maak (ik heb mijn wachtwoord sindsdien gewijzigd, heb een erg lang en complex wachtwoord en gebruik het niet opnieuw), maar ze namen wel de tijd om erop te wijzen dat Yahoo Account Key -functie. Dit is een functie waarbij het, wanneer u zich aanmeldt, een melding naar de Yahoo! app op uw mobiele telefoon, en u moet dat goedkeuren voordat u verder kunt inloggen.

U hoeft geen ingewikkelde wachtwoorden meer te onthouden wanneer u Yahoo gebruikt Accountsleutel om toegang te krijgen tot uw account. Om in te loggen, tikt u op “Ja” in de melding die we naar uw mobiele telefoon sturen. Als Accountsleutel is ingeschakeld, is er geen wachtwoord voor uw account, dus niemand anders dan u kan inloggen.

Dit lijkt op de Google TFA-optie, Google Prompt, die zeker beter is dan enkelvoudige authenticatie. Maar het verschil hier is dat hoewel Google het wachtwoord EN de prompt vereist, Yahoo het wachtwoord niet nodig heeft: dit is dus enkelvoudige authenticatie, alleen een andere factor.

Hoe veilig is dit, vergeleken met een goed, complex, lang, nooit hergebruikt wachtwoord? Zijn er bekende methoden om meldingen op mobiele telefoons te ondermijnen die van invloed kunnen zijn op zoiets?


Ik heb een iOS-apparaat waarop standaard iOS wordt uitgevoerd, maar welkome antwoorden met details over telefoongebonden risicos voor andere telefoons / situaties (hoewel ik mijn scenario bij voorkeur zou willen behandelen). Ik heb ook mijn Yahoo! account verbonden met mijn Google-account (dat is beveiligd met 2FA, met Google Prompt), en een back-up van mijn telefoon naar iCloud. Ik heb daar een 6-cijferige toegangscode en vingerafdrukverificatie voor. Ik maak me niet echt zorgen over een gerichte aanval (ik heb geen specifieke reden om er bang voor te zijn, omdat ik niemand ken die voldoende bekwaam is om zoiets te doen, noch over voldoende waardevolle informatie of geld beschikt om het doelwit te zijn); dit gaat voornamelijk over aanvallen die algemeen van aard zijn.

Ik maak me geen zorgen over het verschil in hoe deze werken; Ik heb een goed begrip van beide. Ik concentreer me hier op het proberen de risicos te vergelijken; hoewel ik een goed begrip heb van wachtwoorden en de risicos die inherent zijn aan 1FA met wachtwoorden, heb ik geen goed idee van de risicos die inherent zijn aan 1FA met mobiele meldingen, en hoe breng de twee in evenwicht.

Opmerkingen

  • Vraagt u zich af hoe veilig dit in theorie zou zijn of hoe veilig de implementatie zou kunnen zijn gezien alle beveiligingsproblemen van Yahoo had in het verleden? Ik bedoel, wachtwoorden konden ook veilig worden opgeslagen en ze deden het niet.
  • Ik vraag als gebruiker, is dit iets dat ik zou moeten gebruiken in plaats van mijn gebruikelijke wachtwoord. Dus ik vermoed een paar van elk?
  • Met deze functie hangt de beveiliging volledig af van de beveiliging van je telefoon. Hoeveel vertrouwt u erop dat niemand ooit toegang heeft tot uw ontgrendelde telefoon en dat er geen schadelijke software op de telefoon wordt geïnstalleerd?
  • @SteffenUllrich – uitstekend punt over telefoonbeveiliging. Dat is een belangrijke overweging. Ik heb zojuist mijn antwoord bijgewerkt met uw opmerking.

Antwoord

Zoals u opmerkt, is dit geen TFA . Het biedt u gewoon 2 verschillende manieren om toegang te krijgen tot uw account. U kunt kiezen welke manier volgens u veiliger is voor uw situatie: een wachtwoord of een fysiek apparaat (zoals uw telefoon).

Wachtwoordvoordelen: Niemand zou ooit toegang moeten kunnen krijgen tot uw account via de voorziene inlogmechanismen zonder uw wachtwoord te kennen. Als uw wachtwoord voldoende lang en complex is, zodat het alleen met brute kracht kan worden geraden, is het uiterst onwaarschijnlijk dat uw wachtwoord wordt gehackt voordat u wordt geïnformeerd dat verander het.

Wachtwoordnadelen: Uw wachtwoord kan gecompromitteerd worden zonder dat u het weet. Dit kan bijvoorbeeld gebeuren als u uw wachtwoord invoert vanaf een gecompromitteerde computer (keylogger) of als u een gecompromitteerd netwerk gebruikt (MITM-aanval) en u toevallig door de browser klikt met een waarschuwing over een ongeldig certificaat. Een ander (bruikbaarheid, niet veiligheid) nadeel is dat als uw wachtwoord lang en complex is, het vervelend is om het handmatig in te voeren op een computer waarop uw wachtwoordbeheerder niet is geïnstalleerd.

Apparaatvoordelen: Iemand zou fysieke toegang tot je apparaat nodig hebben om in te loggen. (Of ze moeten kunnen doen wat u zou moeten doen als u uw apparaat kwijt bent: uw wachtwoord resetten door toegang te hebben tot uw e-mail en mogelijk beveiligingsvragen over u te kunnen beantwoorden).Als u uw apparaat bij u heeft, kunt u er vrij zeker van zijn dat momenteel niemand uw Yahoo-account gebruikt.

Nadelen van apparaten: Als iemand toegang krijgt tot uw apparaat, heeft hij gemakkelijk toegang tot uw account. Bovendien, als u uw apparaat kwijtraakt of kwijtraakt, kunt u uw account pas gebruiken als u uw apparaat weer heeft, of moet u uw account herstellen met een reset.

Wat is beter in uw situatie een aantal dingen om te overwegen:

  • Gebruikt u vaak openbare of gedeelde computers? Dan zou ik naar de accountsleutel leunen.
  • Wordt uw apparaat vaak ontgrendeld of gebruikt u een zwak beveiligingsalgoritme (eenvoudig patroon, gemakkelijke 4-cijferige toegangscode)? Leun dan misschien op een sterk wachtwoord.
  • Hebben andere mensen toegang tot uw telefoon waarvan u geen toegang wilt tot uw account? Gebruik dan zeker een wachtwoord.

Deze FAQ -pagina beantwoordt vragen over het herstellen / resetten van uw account.

Opmerkingen

  • Het ‘ is mij niet duidelijk dat de wachtwoordverificatiemethode nog steeds zou bestaan – Yahoo lijkt te suggereren dat het wachtwoord zou worden afgeschaft. En ik begrijp de verschillen. Ik denk dat ik een goed idee heb van hoe riskant 1FA is met wachtwoorden; mijn vraag is proberen uit te vinden hoe riskant 1FA met mobiele meldingen is, aangezien ik ‘ niet weet veel over hoe gemakkelijk dat is ‘ hack ‘.
  • @joe – Ik ben het met je eens. Ik ‘ heb mijn antwoord bijgewerkt.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *