Eu (împreună cu un miliard de persoane în jur) am fost informat despre Yahoo! contul fiind potențial compromis ieri. Deși nu sunt îngrijorat de asta (mi-am schimbat parola de atunci, am o parolă foarte lungă și complexă și nu o refolosesc), au luat timp să sublinieze Funcția Cheie cont Yahoo . Aceasta este o caracteristică în care, atunci când vă conectați, trimite o notificare către Yahoo! aplicației de pe telefonul dvs. mobil și trebuie să aprobați acest lucru înainte ca autentificarea să poată continua.
Nu veți mai avea nevoie să vă amintiți parole complicate atunci când utilizați Yahoo Cheie de cont pentru a vă accesa contul. Pentru a vă conecta, atingeți „Da” pe notificarea pe care o trimitem pe telefonul dvs. mobil. Cu Cheia de cont activată, nu există o parolă în contul dvs., deci nu vă puteți conecta nimeni altul decât dvs. / p>
Acest lucru pare similar cu opțiunea Google TFA, Google Prompt, care este cu siguranță mai bună decât simpla autentificare cu un singur factor. Dar diferența aici este că, deși Google necesită parola ȘI promptul, Yahoo nu necesită parola: deci aceasta este autentificarea cu un singur factor, doar un alt factor.
Cât de sigur este acest lucru, comparativ cu un bună, complexă, lungă, parolă refolosită niciodată? Există metode cunoscute de a subvertiza notificările telefonului mobil care ar putea afecta ceva de genul acesta?
Am un dispozitiv iOS, care rulează iOS stoc, dar răspunsuri binevenite care includ detalii despre riscurile telefonice pentru alte persoane telefoane / situații (deși aș dori ca scenariul meu să fie acoperit, de preferință). Am și Yahoo! cont conectat la contul meu Google (care este protejat cu 2FA, utilizând Google Prompt) și îmi fac telefonul la iCloud. Am un cod de acces din 6 cifre și autentificare cu amprentă digitală. Nu mă îngrijorează în mod special un atac vizat (nu am niciun motiv special să mă tem de unul, nu știu pe nimeni suficient de calificat pentru a face așa ceva și nici să aibă suficiente informații valoroase sau bani pentru a fi direcționați); aceasta este în primul rând despre atacuri care sunt de natură generală.
Nu mă preocupă să înțeleg diferența în modul în care acestea funcționează; Am o bună înțelegere a amândurora. Mă concentrez aici pe încercarea de a compara riscurile; deși înțeleg bine parolele și riscurile inerente 1FA cu parolele, nu am o bună cunoaștere a riscurilor inerente în 1FA cu notificările mobile și cum să echilibrați cele două.
Comentarii
- Vă întrebați cât de sigur ar fi acest lucru în teorie sau cât de sigură ar putea fi implementarea luând în considerare toate problemele de securitate Yahoo a avut in trecut? Adică, parolele ar putea fi stocate și ele în siguranță și nu au făcut-o.
- Întreb ca utilizator, este ceva ce ar trebui să aleg să folosesc față de parola mea obișnuită. Deci, cred că unele dintre fiecare dintre ele?
- Cu această funcție, securitatea depinde pe deplin de securitatea telefonului dvs. Cât de mult ai încredere în tine că nimeni nu are acces vreodată la telefonul tău deblocat și că niciun software rău intenționat nu este instalat pe telefon?
- @SteffenUllrich – punct excelent despre securitatea telefonului. Acesta este un aspect important. Tocmai mi-am actualizat răspunsul pentru a include comentariul dvs.
Răspuns
După cum ați subliniat, acesta nu este TFA . Pur și simplu vă oferă 2 moduri diferite de a vă accesa contul. Puteți alege ce mod vă simțiți mai sigur pentru situația dvs.: o parolă sau un dispozitiv fizic (cum ar fi telefonul dvs.).
Avantajele parolei: Nimeni nu ar trebui să aibă acces la contul dvs. prin intermediul mecanismelor de conectare furnizate fără să vă cunoască parola. Dacă parola dvs. este suficient de lungă și complexă încât să poată fi ghicită doar prin forță brută, atunci chiar dacă Yahoo ar fi spart și s-ar fi furat hashurile de parolă, este extrem de puțin probabil ca parola dvs. să fie spartă înainte de a fi informat că schimbați-o.
Dezavantaje ale parolei: Parola dvs. poate fi compromisă fără ca dvs. să știți. De exemplu, acest lucru s-ar putea întâmpla dacă introduceți parola de pe un computer compromis (keylogger) sau atunci când utilizați o rețea compromisă (atac MITM) și întâmplător faceți clic în browser avertizând despre un certificat nevalid. Un alt dezavantaj (de utilizare, nu de securitate) este dacă parola dvs. este lungă și complexă, este enervant să o introduceți manual pe un computer în care managerul de parole nu este instalat.
Avantajele dispozitivului: Cineva ar trebui să aibă acces fizic la dispozitivul dvs. pentru a se conecta. (Sau trebuie să poată face ceea ce ar trebui să faceți dacă ați pierde dispozitivul: resetați-vă parola, având acces la e-mail și, eventual, să puteți răspunde la întrebări de securitate despre dvs.).Dacă aveți dispozitivul pe dvs., puteți fi sigur că nimeni nu vă folosește în prezent contul Yahoo.
Dezavantaje ale dispozitivului: Dacă cineva obține acces la dispozitivul dvs., vă poate accesa cu ușurință contul. În plus, dacă vă pierdeți sau pierdeți dispozitivul, nu veți putea să vă folosiți contul până nu îl veți avea din nou sau va trebui să vă recuperați contul cu o resetare.
În ceea ce privește, este mai bine în situația dvs., trebuie luate în considerare câteva lucruri:
- Folosiți frecvent computere publice sau partajate? Apoi m-aș apleca spre cheia de cont.
- Dispozitivul dvs. este lăsat frecvent deblocat sau utilizează un algoritm de protecție slab (model ușor, cod de acces ușor de 4 cifre)? Apoi poate înclinați-vă spre o parolă puternică.
- Alte persoane au acces la telefonul dvs. pe care nu doriți să îl aveți la contul dvs.? Atunci folosiți cu siguranță o parolă.
Această pagină FAQ răspunde la întrebări despre cum să vă recuperați / resetați contul.
Comentarii
- Nu ‘ mi-a fost clar că metoda de autentificare a parolei ar exista în continuare – Yahoo pare să sugereze că parola va fi eliminată. Și înțeleg diferențe. Cred că am un bun simț al riscului 1FA cu parolele; întrebarea mea este să încerc să aflu cât de riscant este 1FA cu notificări mobile, așa cum nu știu ‘ multe despre cât de ușor este ‘ hack ‘.
- @joe – Sunt de acord cu tine. I ‘ mi-am actualizat răspunsul.