Sicurezza della nuova autenticazione di Yahoo: password su richiesta

In alcuni modi è più sicuro di una password, ma come si descrive, rende anche gli account più vulnerabili agli altri vettori di attacco.

Come best practice, l'autenticazione a due fattori correttamente implementata offre una sicurezza molto superiore a un singolo fattore, indipendentemente dal fatto che quel singolo fattore sia una password memorizzata o una password "su richiesta".

Vulnerabilità ridotta agli attacchi basati su Internet

Riesco a vedere la logica del motivo per cui Yahoo ha implementato questo sistema di autenticazione alternativa, tuttavia, uno dei modi principali in cui gli spammer, i bot automatizzati di hacking e gli hacker ottengono l'accesso agli account di Yahoo è attraverso il riutilizzo delle password. Yahoo e-mail è un servizio di grandi dimensioni che è stato in giro per molto tempo; e molti dei suoi utenti continui non sono tecnicamente esperti. Pertanto, spesso riutilizzano le password su siti diversi; arrivando persino al punto di registrarsi con la loro e-mail yahoo. Quindi il loro account è compromesso e vediamo lo spam, le richieste di truffa (le lettere "Sono stato rapito per favore", ecc.) E simili.

Inoltre, tipici attacchi di malware come keylogger e intercettazione di password non sarebbero in grado di accedere all'account, semplicemente perché la password sarebbe utilizzabile solo una volta; e una volta scaduto, un sistema remoto non ha potuto accedere. Ciò riduce la vulnerabilità a un metodo molto comune per le parti malintenzionate di accedere alle email altrui.

Quindi, se quegli utenti passassero a questo sistema di password basato sul telefono, questi vettori di attacco sarebbero stati in gran parte eliminati.

Maggiore vulnerabilità agli attacchi fisici

Come si fa notare, tuttavia, questo apre un intero nuovo vettore di attacco in quanto se il telefono dell'utente viene compromesso, si potrebbe facilmente accedere al proprio account. Questo cambia il vettore di attacco da remoto (hack basati su Internet da altri paesi) a un attacco fisico. Pertanto, chiunque abbia accesso fisico al tuo dispositivo sbloccato può accedere alla tua e-mail da un altro computer. Tuttavia, gli utenti di solito hanno la loro sincronizzazione e-mail con il loro telefono, quindi se questo fosse il caso, chiunque avesse accesso al dispositivo potrebbe semplicemente leggere anche l'e-mail dal telefono.

Sicurezza SMS

C'è anche la questione della sicurezza degli SMS. Se un codice fornito da SMS è tutto ciò che è necessario per il login, è vulnerabile a vari attacchi di intercettazione - in particolare dai dispositivi "Stingray" forniti alle forze dell'ordine negli Stati Uniti. Inoltre, come fai notare, c'è l'attacco fisico meno sofisticato di rubare la carta SIM (e potenzialmente clonarla) e inserirla in un altro dispositivo e attivare il messaggio. Questo apre un nuovo vettore di attacco, ma di nuovo è localizzato in quanto l'attaccante deve essere fisicamente vicino (o avere vicino l'equipaggiamento) al bersaglio. L'autenticazione a due fattori non ha questa vulnerabilità perché l'altro fattore (ad es. Una password) non sarebbe vulnerabile allo stesso attacco.

I governi hanno modi più efficaci

Riguardo ai governi, in genere possono passare attraverso mezzi legali per ottenere dati dai fornitori in modo che siano meno propensi ad attaccare un account di posta elettronica basato sul web tramite un hack; e ottenere le informazioni dal fornitore o forzare il target a consegnare la password o i dati.

Utilizza l'autenticazione a due fattori come best practice

Tuttavia, se un utente vuole veramente prendere le misure migliori che possono ragionevolmente mantenere la propria posta elettronica sicura, l'autenticazione a due fattori è l'opzione migliore e non si deve fare affidamento su un singolo fattore, indipendentemente da quale sia .