I (insieme a circa un miliardo di persone) è stato informato del mio Yahoo! l'account è potenzialmente compromesso ieri. Mentre non sono preoccupato di ciò (ho cambiato la mia password da allora, ho una password molto lunga e complessa, e non la riusare), hanno preso il tempo necessario per indicare File account Yahoo Key . Questa è una funzione in cui, quando si effettua l'accesso, viene inviata una notifica a Yahoo! app sul tuo cellulare e devi approvarla prima che il login possa continuare.
You'll no longer need to remember complicated passwords when you use Yahoo Account Key to access your account. To sign in, tap "Yes" on the notification we send to your mobile phone. With Account Key enabled, there's no password on your account, so no one other than you can sign in.
Questo sembra simile all'opzione Google TFA, Google Prompt, che è sicuramente meglio dell'autenticazione a fattore singolo. Ma la differenza qui è che mentre Google richiede la password E il prompt, Yahoo non richiede la password: quindi questa è l'autenticazione a fattore singolo, solo un fattore diverso.
Quanto è sicuro questo, rispetto a una password buona, complessa, lunga e mai riutilizzata? Esistono metodi noti per sovvertire le notifiche dei telefoni cellulari che potrebbero influire su qualcosa del genere?
Ho un dispositivo iOS, con sistema operativo iOS, ma mi piacciono le risposte che includono dettagli sui rischi lato telefono per altri telefoni / situazioni (anche se preferirei che il mio scenario fosse coperto, preferibilmente). Ho anche il mio Yahoo! account collegato al mio account Google (che è protetto con 2FA, utilizzando Google Prompt) e il mio telefono su iCloud. Ho un'autenticazione a 6 cifre su passcode e fingerprint. Non sono particolarmente preoccupato per un attacco mirato (non ho alcun motivo particolare per temerne uno, non conosco nessuno che sia sufficientemente abile per fare qualcosa del genere o che non abbia abbastanza informazioni o denaro per essere valutato come bersaglio); si tratta principalmente di attacchi di natura generale.
Non mi preoccupo di capire la differenza nel modo in cui funzionano; Ho una buona comprensione di entrambi. Mi sto concentrando qui sul tentativo di confrontare i rischi; mentre ho una buona conoscenza delle password e dei rischi inerenti a 1FA con le password, non ho una buona idea dei rischi inerenti a 1FA con le notifiche mobili e su come bilanciare i due.