Nový systém hesel Yahoo na vyžádání nenahrazuje dvoufaktorovou autentizaci

Ve snaze zjednodušit autentizaci pro své služby zavedl Yahoo nový mechanismus, který umožňuje uživatelům přihlásit se pomocí dočasných hesel zasílaných na jejich mobilní telefony.

Pokud to zní jako dvoufaktorový autentizační systém, ve kterém uživatelé musí kromě statických hesel poskytovat jednorázové kódy zaslané na své mobilní telefony. Yahoo tuto možnost již měl.

Místo toho nový mechanismus přihlášení, který je založen na tom, co Yahoo volá hesla na vyžádání, se stále spoléhá na jediný faktor, telefonní číslo uživatele.

Uživatelé Yahoo - nyní pouze uživatelé se sídlem v USA - mohou tuto funkci zapnout z nastavení zabezpečení svého účtu na webu Yahoo. Budou muset poskytnout telefonní číslo a poté potvrdit, že k němu mají přístup zadáním ověřovacího kódu, který jim byl zaslán prostřednictvím SMS.

Jakmile je systém nastaven, při příštím přihlášení se uživatelům Yahoo zobrazí místo tradičního pole pro zadání hesla tlačítko „odeslat mé heslo“. Kliknutím na toto tlačítko jim odešlete dočasné čtyřmístné heslo prostřednictvím SMS.

Nový systém nabízí lepší zabezpečení než statická hesla, která mohou být odcizena různými způsoby, ale není tak účinná jako dvoufaktorová autentizace, protože záleží pouze na tom, jak bezpečný je telefon uživatele.

„Dvoufaktorová autentizace je bezpečnější, protože vyžaduje, aby útočník kompromitoval více než jen jednu informaci, aby byl úspěšný,“ řekl Tim Erlin, ředitel produktového managementu v bezpečnostní společnosti Tripwire, e-mailem. „Zatímco Yahoo zvedá břemeno zapamatování hesla, udržuje jediný cíl kompromisu: vaše SMS zprávy. Malware ve vašem telefonu lze použít k zachycení těchto zpráv SMS a poté k plnému přístupu k vašemu účtu. “

Schopnost zachytit, odcizit a skrýt textové zprávy je běžná pro mobilní malware, zejména pro hrozby, které se zaměřují na uživatele online bankovnictví, kteří často dostávají transakční a jiné autorizační kódy prostřednictvím SMS.

Pokud je telefon ztracen nebo ponechán bez dozoru, lze jej také použít k vygenerování hesla pro e-mailový účet vlastníka telefonu Yahoo. Jak ukázalo mnoho incidentů, e-mailový účet dané osoby může být bránou pro další kompromisy, protože může být použit k obnovení hesla pro uživatelské účty na jiných webových stránkách..

Tvůrci malwaru se budou stále více zaměřovat na mobilní platformy, protože hrají důležitou roli pro zabezpečení uživatelů online, uvedl TK Keanini, CTO v bezpečnostní firmě Lancope, e-mailem. "V těchto dnech je také důležité zajistit, aby byl mobilní účet bezpečný, protože nechcete, aby útočníci změnili funkce, jako je přesměrování hovorů a další funkce, které je mohou umístit uprostřed tohoto komunikačního proudu."

Vědci již léta varovali, že statická hesla již neposkytují dostatečnou ochranu online účtům, takže jakékoli úsilí o jejich nahrazení něčím jiným je obecně vítáno.

Zůstává vidět, jak zranitelný je nový systém Yahoo, „ale může být jen dobrá věc, že ​​známá značka v oblasti technologií hledá různé způsoby, jak vylepšit heslo,“ řekl Chris Boyd, analytik malwarové inteligence na Malwarebytes, e-mailem.

Vzhledem k tomu by si však Boyd kdykoli vybral dvoufaktorové overování s jedním faktorem.

Pokud již máte na svém účtu Yahoo povoleno „dvoufázové ověření“, je lepší se s ním držet a nepřepnout na nový systém „heslo na vyžádání“. Podle Erlina se zdá, že tyto dva jsou nekompatibilní a přepnutí na hesla na vyžádání může ve skutečnosti snížit bezpečnost vašeho účtu..

I s potenciálními nevýhodami „je dobré vidět, jak se Yahoo snaží řešit problém s heslem,“ řekl Jared DeMott, hlavní výzkumný pracovník v oblasti bezpečnosti v Bromiu, e-mailem. Většina uživatelů však bude dělat pouze to, co je od nich ve výchozím nastavení požadováno, „takže pokud společnosti myslí o lepší bezpečnosti přihlášení vážně, bude muset být výchozí volba upravena.“

Nový systém hesel Yahoo na vyžádání prozatím vyžaduje, aby se uživatelé přihlásili.

Připojte se ke komunitám World World na Facebooku a LinkedIn a přidávejte komentáře k tématům, která jsou na prvním místě.