Quanto è sicuro la chiave dell'account Yahoo?

5

I (insieme a circa un miliardo di persone) è stato informato del mio Yahoo! l'account è potenzialmente compromesso ieri. Mentre non sono preoccupato di ciò (ho cambiato la mia password da allora, ho una password molto lunga e complessa, e non la riusare), hanno preso il tempo necessario per indicare File account Yahoo Key . Questa è una funzione in cui, quando si effettua l'accesso, viene inviata una notifica a Yahoo! app sul tuo cellulare e devi approvarla prima che il login possa continuare.

You'll no longer need to remember complicated passwords when you use Yahoo Account Key to access your account. To sign in, tap "Yes" on the notification we send to your mobile phone. With Account Key enabled, there's no password on your account, so no one other than you can sign in.

Questo sembra simile all'opzione Google TFA, Google Prompt, che è sicuramente meglio dell'autenticazione a fattore singolo. Ma la differenza qui è che mentre Google richiede la password E il prompt, Yahoo non richiede la password: quindi questa è l'autenticazione a fattore singolo, solo un fattore diverso.

Quanto è sicuro questo, rispetto a una password buona, complessa, lunga e mai riutilizzata? Esistono metodi noti per sovvertire le notifiche dei telefoni cellulari che potrebbero influire su qualcosa del genere?

Ho un dispositivo iOS, con sistema operativo iOS, ma mi piacciono le risposte che includono dettagli sui rischi lato telefono per altri telefoni / situazioni (anche se preferirei che il mio scenario fosse coperto, preferibilmente). Ho anche il mio Yahoo! account collegato al mio account Google (che è protetto con 2FA, utilizzando Google Prompt) e il mio telefono su iCloud. Ho un'autenticazione a 6 cifre su passcode e fingerprint. Non sono particolarmente preoccupato per un attacco mirato (non ho alcun motivo particolare per temerne uno, non conosco nessuno che sia sufficientemente abile per fare qualcosa del genere o che non abbia abbastanza informazioni o denaro per essere valutato come bersaglio); si tratta principalmente di attacchi di natura generale.

Non mi preoccupo di capire la differenza nel modo in cui funzionano; Ho una buona comprensione di entrambi. Mi sto concentrando qui sul tentativo di confrontare i rischi; mentre ho una buona conoscenza delle password e dei rischi inerenti a 1FA con le password, non ho una buona idea dei rischi inerenti a 1FA con le notifiche mobili e su come bilanciare i due.

    
posta Joe 15.12.2016 - 18:20
fonte

1 risposta

2

Come fai notare, questo non è TFA. Ti fornisce semplicemente 2 modi diversi per accedere al tuo account. Puoi scegliere in che modo ti senti più sicuro per la tua situazione: una password o un dispositivo fisico (come il tuo telefono).

Vantaggi della password: Nessuno dovrebbe mai essere in grado di accedere al tuo account tramite i meccanismi di accesso forniti senza conoscere la tua password. Se la tua password è sufficientemente lunga e complessa da poter essere indovinata tramite la forza bruta, anche se Yahoo è stato violato e gli hash delle password sono stati rubati, è estremamente improbabile che la tua password venga compromessa prima che ti venga notificato che devi cambialo.

Svantaggi della password: La tua password potrebbe essere compromessa senza che tu te ne accorga. Ad esempio, ciò potrebbe accadere se si immette la password da un computer compromesso (keylogger) o quando si utilizza una rete compromessa (attacco MITM) e si avverte di fare clic sull'avviso del browser relativo a un certificato non valido. Un altro svantaggio (usabilità, non sicurezza) è che se la tua password è lunga e complessa, è fastidioso inserirla manualmente su un computer in cui non è installato il tuo gestore delle password.

Vantaggi del dispositivo: Qualcuno dovrebbe avere accesso fisico al dispositivo per accedere. (Oppure devono essere in grado di fare ciò che si dovrebbe fare in caso di smarrimento del dispositivo: reimpostare la password accedendo alla propria e-mail e possibilmente essere in grado di rispondere a domande di sicurezza su di te). Se hai il tuo dispositivo su di te, allora puoi essere abbastanza sicuro che nessuno stia attualmente utilizzando il tuo account Yahoo.

Svantaggi del dispositivo: Se qualcuno accede al tuo dispositivo, possono facilmente accedere al tuo account. Inoltre, se perdi o smarrisci il tuo dispositivo, non sarai in grado di utilizzare il tuo account fino a quando non avrai di nuovo il dispositivo, o dovrai ripristinare il tuo account con un reset.

Per quanto è meglio nella tua situazione, alcune cose da considerare:

  • Utilizzi frequentemente computer pubblici o condivisi? Quindi mi piacerei indirizzare verso la chiave dell'account.
  • Il tuo dispositivo rimane spesso sbloccato o utilizza un algoritmo di protezione debole (modello facile, codice di accesso facile a 4 cifre)? Poi, forse, tieni verso una password sicura.
  • Le altre persone hanno accesso al tuo telefono che non vuoi avere accesso al tuo account? Quindi usa sicuramente una password.

Questa pagina Domande frequenti risponde a domande su come recuperare / resetta il tuo account.

    
risposta data 15.12.2016 - 18:34
fonte

Leggi altre domande sui tag