Otrzymałem (wraz z około miliardem innych osób) powiadomienie o moim koncie Yahoo! konto zostało wczoraj potencjalnie przejęte. Chociaż „nie martwię się o to (od tamtej pory zmieniłem hasło, mam bardzo długie i złożone hasło i nie używam go ponownie), poświęcili trochę czasu, aby wskazać klucz konta Yahoo . Jest to funkcja, dzięki której po zalogowaniu wysyła powiadomienie do Yahoo! app w telefonie komórkowym i musisz to zatwierdzić, zanim będzie można kontynuować logowanie.
Nie będziesz już musiał pamiętać skomplikowanych haseł podczas korzystania z Yahoo Klucz konta, aby uzyskać dostęp do konta. Aby się zalogować, dotknij „Tak” w powiadomieniu, które wyślemy na Twój telefon komórkowy. Po włączeniu klucza konta nie ma hasła do Twojego konta, więc nikt oprócz Ciebie nie może się zalogować.
Wydaje się, że jest to podobne do opcji Google TFA, Google Prompt, która jest z pewnością lepsza niż tylko uwierzytelnianie jednoskładnikowe. Różnica polega jednak na tym, że chociaż Google wymaga hasła ORAZ monitu, Yahoo nie wymaga hasła: jest to więc uwierzytelnianie jednoskładnikowe, po prostu inny czynnik.
Jak bezpieczne jest to w porównaniu z dobre, złożone, długie, nigdy nie używane hasło? Czy są jakieś znane metody obalania powiadomień z telefonu komórkowego, które mogą mieć wpływ na coś takiego?
Mam urządzenie iOS z systemem iOS, ale mile widziane odpowiedzi, które zawierają szczegóły dotyczące zagrożeń po stronie telefonu dla innych telefony / sytuacje (chociaż chciałbym, aby mój scenariusz był objęty, najlepiej). Mam też swój Yahoo! konto połączone z moim kontem Google (które jest chronione przez 2FA, przy użyciu Google Prompt) i z powrotem z moim telefonem na iCloud. Mam na nim 6-cyfrowy kod dostępu i uwierzytelnianie odciskiem palca. Nie martwię się specjalnie atakiem ukierunkowanym (nie mam szczególnego powodu, aby się go obawiać, nie znam nikogo, kto jest wystarczająco wykwalifikowany, aby zrobić coś takiego, ani nie ma wystarczającej ilości cennych informacji lub pieniędzy, aby być wartym wycelowania); dotyczy to przede wszystkim ataków które mają charakter ogólny.
Nie obchodzi mnie rozumienie różnicy w sposobie ich działania; Dobrze rozumiem oba. Skupiam się tutaj na próbie porównania zagrożeń; chociaż dobrze rozumiem hasła i ryzyko związane z 1FA z hasłami, nie mam dobrego wyczucia zagrożeń związanych z 1FA z powiadomieniami mobilnymi i jak zrównoważyć te dwie rzeczy.
Komentarze
- Czy pytasz, jak bezpieczne byłoby to teoretycznie lub jak bezpieczne mogłoby być wdrożenie, biorąc pod uwagę wszystkie problemy z bezpieczeństwem Yahoo miał w przeszłości? Chodzi mi o to, że hasła mogą być również bezpiecznie przechowywane, a oni tego nie zrobili.
- Pytam jako użytkownik, czy jest to coś, co powinienem wybrać w porównaniu z moim zwykłym hasłem. Więc myślę, że po części z każdego z nich?
- Dzięki tej funkcji bezpieczeństwo w pełni zależy od bezpieczeństwa Twojego telefonu. Jak bardzo ufasz sobie, że nikt nigdy nie miał dostępu do twojego odblokowanego telefonu i że żadne złośliwe oprogramowanie nie zostało zainstalowane na telefonie?
- @SteffenUllrich – doskonała uwaga na temat bezpieczeństwa telefonu. To ważna kwestia. Właśnie zaktualizowałem moją odpowiedź, aby zawierała Twój komentarz.
Odpowiedź
Jak zauważyłeś, to nie jest TFA . Zapewnia po prostu 2 różne sposoby dostępu do konta. Możesz wybrać sposób, w jaki uważasz, że jest bezpieczniejszy w Twojej sytuacji: hasło lub fizyczne urządzenie (np. Telefon).
Zalety hasła: Nikt nie powinien być w stanie uzyskać dostępu do Twojego konta za pośrednictwem udostępnionych mechanizmów logowania bez znajomości Twojego hasła. Jeśli Twoje hasło jest wystarczająco długie i skomplikowane, tak że można je odgadnąć jedynie brutalną siłą, to nawet jeśli Yahoo zostało zhakowane i skradziono skróty haseł, jest bardzo mało prawdopodobne, że Twoje hasło zostanie zhakowane, zanim zostaniesz powiadomiony, że musisz to zrobić zmień to.
Wady hasła: Twoje hasło może zostać przejęte bez Twojej wiedzy. Na przykład może się to zdarzyć, jeśli wprowadzisz hasło z zaatakowanego komputera (keylogger) lub podczas korzystania z przejętej sieci (atak MITM) i klikniesz ostrzeżenie przeglądarki o nieprawidłowym certyfikacie. Inną wadą (użyteczność, a nie bezpieczeństwa) jest to, że jeśli hasło jest długie i złożone, irytujące jest ręczne wprowadzanie go na komputerze, na którym nie jest zainstalowany menedżer haseł.
Zalety urządzenia: Ktoś musiałby mieć fizyczny dostęp do Twojego urządzenia, aby się zalogować. (Lub muszą być w stanie zrobić to, co musiałbyś zrobić, gdybyś zgubił urządzenie: zresetuj hasło, mając dostęp do poczty e-mail i być może będąc w stanie odpowiedzieć na pytania bezpieczeństwa dotyczące Ciebie).Jeśli masz przy sobie urządzenie, możesz być prawie pewien, że nikt obecnie nie używa Twojego konta Yahoo.
Wady urządzenia: Jeśli ktoś uzyska dostęp do Twojego urządzenia, będzie mógł łatwo uzyskać dostęp do Twojego konta. Ponadto, jeśli zgubisz lub zgubisz urządzenie, nie będziesz mógł korzystać ze swojego konta, dopóki nie będziesz go ponownie mieć, lub będziesz musiał odzyskać konto po zresetowaniu.
Co jest lepsze w Twojej sytuacji, kilka rzeczy do rozważenia:
- Czy często korzystasz z komputerów publicznych lub współużytkowanych? Wtedy pochyliłbym się w stronę klucza konta.
- Czy Twoje urządzenie często jest odblokowane lub używa słabego algorytmu ochrony (łatwy wzór, łatwe 4-cyfrowe hasło)? Wtedy może skłoń się do silnego hasła.
- Czy inne osoby mają dostęp do Twojego telefonu, a Ty nie chcesz mieć dostępu do Twojego konta? Więc zdecydowanie użyj hasła.
Ta strona FAQ zawiera odpowiedzi na pytania dotyczące odzyskiwania / resetowania konta.
Komentarze
- ' nie jest dla mnie jasne, czy metoda uwierzytelniania hasła będzie nadal istnieć – Yahoo wydaje się sugerować, że hasło zostanie usunięte. I rozumiem różnice. Myślę, że dobrze wiem, jak ryzykowne jest 1FA w przypadku haseł. Moje pytanie polega na tym, aby dowiedzieć się, jak ryzykowne jest 1FA w przypadku powiadomień mobilnych, ponieważ po prostu nie ' nie wiem dużo o tym, jak łatwo jest ' zhakować '.
- @joe – zgadzam się z tobą. div id = „32b74faa51”>
zaktualizowałem moją odpowiedź.