Yo (junto con mil millones de personas más o menos) fui notificado sobre mi Yahoo! cuenta potencialmente comprometida ayer. Si bien eso no me preocupa (cambié mi contraseña desde entonces, tengo una contraseña muy larga y compleja y no la reutilizo), se tomaron el tiempo para señalar el Función clave de cuenta de Yahoo . Esta es una función en la que, cuando inicia sesión, envía una notificación a Yahoo! en tu teléfono móvil, y debes aprobarlo antes de que el inicio de sesión pueda continuar.
Ya no necesitarás recordar contraseñas complicadas cuando utilices Yahoo Clave de cuenta para acceder a su cuenta. Para iniciar sesión, toque «Sí» en la notificación que le enviamos a su teléfono móvil. Con la clave de cuenta habilitada, no hay contraseña en su cuenta, por lo que nadie más que usted puede iniciar sesión.
Esto parece similar a la opción Google TFA, Google Prompt, que ciertamente es mejor que la autenticación de un solo factor. Pero la diferencia aquí es que, si bien Google requiere la contraseña Y la solicitud, Yahoo no requiere la contraseña: por lo que esta es una autenticación de factor único, solo un factor diferente.
¿Qué tan seguro es esto, en comparación con un ¿Contraseña buena, compleja, larga y nunca reutilizada? ¿Existe algún método conocido para subvertir las notificaciones de teléfonos móviles que podrían afectar algo como esto?
Tengo un dispositivo iOS, con iOS estándar, pero agradezco respuestas que incluyan detalles sobre los riesgos del teléfono para otros teléfonos / situaciones (aunque me gustaría que se cubriera mi escenario, preferiblemente). También tengo mi Yahoo! cuenta conectada a mi cuenta de Google (que está protegida con 2FA, usando Google Prompt), y haga una copia de seguridad de mi teléfono en iCloud. Tengo un código de acceso de 6 dígitos y autenticación de huellas digitales en eso. «No estoy particularmente preocupado por un ataque dirigido (no tengo ninguna razón en particular para temerlo, no conozco a nadie que sea lo suficientemente hábil para hacer algo como esto ni tenga suficiente información valiosa o dinero para que valga la pena atacarlo); esto se trata principalmente de ataques que son de naturaleza general.
No me preocupa comprender la diferencia en cómo funcionan; Entiendo bien ambos. Me estoy centrando aquí en tratar de comparar los riesgos; si bien entiendo bien las contraseñas y los riesgos inherentes a 1FA con contraseñas, no tengo una buena idea de los riesgos inherentes a 1FA con notificaciones móviles, y cómo equilibre los dos.
Comentarios
- ¿Está preguntando qué tan seguro sería esto en teoría o qué tan segura podría ser la implementación considerando todos los problemas de seguridad Yahoo tenido en el pasado? Quiero decir, las contraseñas también podrían almacenarse de forma segura y no lo hicieron.
- Estoy preguntando como usuario si esto es algo que debería elegir usar en lugar de mi contraseña habitual. ¿Supongo que algunos de cada uno?
- Con esta función, la seguridad depende completamente de la seguridad de su teléfono. ¿Cuánto confía en que nadie ha tenido acceso a su teléfono desbloqueado y que no se instala ningún software malicioso en el teléfono?
- @SteffenUllrich: excelente punto sobre la seguridad del teléfono. Esa es una consideración importante. Acabo de actualizar mi respuesta para incluir su comentario.
Respuesta
Como señala, esto no es TFA . Simplemente le proporciona 2 formas diferentes de acceder a su cuenta. Puede elegir la forma en que se sienta más seguro para su situación: una contraseña o un dispositivo físico (como su teléfono).
Ventajas de la contraseña: Nadie debería poder acceder a su cuenta a través de los mecanismos de inicio de sesión proporcionados sin conocer su contraseña. Si su contraseña es lo suficientemente larga y compleja como para que solo se pueda adivinar mediante la fuerza bruta, incluso si se pirateó Yahoo y se robaron los hash de contraseña, es muy poco probable que se piratee su contraseña antes de que se le notifique que debe hacerlo. cámbiela.
Desventajas de la contraseña: Su contraseña podría verse comprometida sin que usted lo sepa. Por ejemplo, esto podría suceder si ingresa su contraseña desde una computadora comprometida (registrador de teclas) o cuando usa una red comprometida (ataque MITM) y hace clic en la advertencia del navegador sobre un certificado no válido. Otra desventaja (de usabilidad, no de seguridad) es que si su contraseña es larga y compleja, es molesto ingresarla manualmente en una computadora donde su administrador de contraseñas no está instalado.
Ventajas del dispositivo: Alguien debería tener acceso físico a su dispositivo para poder iniciar sesión. (O deben poder hacer lo que usted tendría que hacer si perdiera su dispositivo: restablecer su contraseña al tener acceso a su correo electrónico y posiblemente poder responder preguntas de seguridad sobre usted).Si tienes tu dispositivo contigo, entonces puedes estar bastante seguro de que nadie está usando tu cuenta de Yahoo actualmente.
Desventajas del dispositivo: Si alguien obtiene acceso a su dispositivo, puede acceder fácilmente a su cuenta. Además, si pierde o extravía su dispositivo, no podrá usar su cuenta hasta que tenga su dispositivo nuevamente, o tendrá que recuperar su cuenta con un reinicio.
En cuanto a cuál es mejor en su situación, algunas cosas a considerar:
- ¿Utiliza con frecuencia computadoras públicas o compartidas? Entonces me inclinaría hacia la clave de la cuenta.
- ¿Su dispositivo se deja desbloqueado con frecuencia o utiliza un algoritmo de protección débil (patrón fácil, código de acceso fácil de 4 dígitos)? Entonces tal vez opte por una contraseña segura.
- ¿Otras personas tienen acceso a su teléfono y usted no quiere tener acceso a su cuenta? Entonces definitivamente use una contraseña.
Esta página de Preguntas frecuentes responde preguntas sobre cómo recuperar / restablecer su cuenta.
Comentarios
- ‘ no me queda claro que el método de autenticación de contraseña seguiría existiendo; Yahoo parece sugerir que la contraseña se eliminará. Y entiendo que diferencias. Creo que tengo una buena idea de lo arriesgado que es 1FA con las contraseñas; mi pregunta es tratar de averiguar qué tan riesgoso es 1FA con notificaciones móviles, ya que simplemente no ‘ no sé mucho sobre lo fácil que es ‘ hackear ‘.
- @joe – Estoy de acuerdo contigo. Yo ‘ he actualizado mi respuesta.