雅虎帐户密钥的安全性如何?

信息安全 密码 多因素 雅虎
2021-09-11 02:08:46

我(连同大约 10 亿人)收到了有关我的 Yahoo! 的通知。帐户昨天可能被盗用。虽然我对此并不担心(从那以后我已经更改了密码,密码非常长且复杂,并且不要重复使用它),但他们确实花时间指出了雅虎帐户密钥功能。这是一项功能,当您登录时,它会向 Yahoo! 发送通知。应用程序在您的手机上,您必须先批准才能继续登录。

当您使用 Yahoo 帐户密钥访问您的帐户时,您将不再需要记住复杂的密码。要登录,请在我们发送到您手机的通知上点击“是”。启用帐户密钥后,您的帐户没有密码,因此除了您之外没有其他人可以登录。

这似乎类似于 Google TFA 选项 Google Prompt,它肯定比单因素身份验证要好。但这里的区别在于,虽然谷歌需要密码和提示,但雅虎不需要密码:所以这是单因素身份验证,只是一个不同的因素。

与一个好的、复杂的、长的、从不重复使用的密码相比,这有多安全?是否有任何已知的方法可以破坏可能影响此类事情的手机通知?

我有一个 iOS 设备,运行股票 iOS,但欢迎回答,其中包括有关其他手机/情况的手机端风险的详细信息(尽管最好涵盖我的场景)。我也有我的雅虎!连接到我的 Google 帐户(使用 Google Prompt 受 2FA 保护)的帐户,然后将我的手机备份到 iCloud。我有一个 6 位数的密码和指纹认证。我并不特别担心有针对性的攻击(我没有特别的理由害怕这种攻击,我不认识任何有足够技能来做这样的事情的人,也没有足够的有价值的信息或金钱值得瞄准);这主要是关于一般性质的攻击。

我不关心理解这些工作方式的差异。我对两者都有很好的理解。我在这里专注于尝试比较风险;虽然我对密码和 1FA 密码固有的风险有很好的理解,但我对 1FA 的移动通知固有风险以及如何平衡两者没有很好的认识。

1个回答

正如您所指出的,这不是 TFA。它只是为您提供 2 种不同的方式来访问您的帐户。您可以选择您认为对您的情况更安全的方式:密码或物理设备(例如您的手机)。

密码优势: 任何人都不应该在不知道您的密码的情况下通过所提供的登录机制访问您的帐户。如果您的密码足够长且复杂,以至于只能通过暴力破解来猜测,那么即使雅虎被黑客入侵并且密码哈希被盗,在您收到通知您需要密码之前,您的密码也极不可能被黑客入侵更改。

密码缺点: 您的密码可能在您不知情的情况下被泄露。例如,如果您从受感染的计算机(键盘记录器)或使用受感染的网络(MITM 攻击)输入密码,并且您碰巧单击浏览器警告证书无效,则可能会发生这种情况。另一个(可用性,而非安全性)缺点是,如果您的密码又长又复杂,那么在未安装密码管理器的计算机上手动输入密码会很烦人。

设备优势: 有人需要物理访问您的设备才能登录。(或者,如果您丢失了设备,他们必须能够做您必须做的事情:通过访问您的电子邮件并可能能够回答有关您的安全问题来重置您的密码)。如果你有你的设备,那么你可以很确定目前没有人在使用你的雅虎帐户。

设备缺点: 如果有人可以访问您的设备,他们可以轻松访问您的帐户。此外,如果您丢失或放错了设备,您将无法使用您的帐户,直到您重新拥有您的设备,或者您必须通过重置来恢复您的帐户。

至于哪种情况更适合您,需要考虑以下几点:

  • 您是否经常使用公共或共享计算机?然后我会倾向于帐户密钥。
  • 您的设备是否经常处于解锁状态或使用弱保护算法(简单模式、简单 4 位密码)?然后也许倾向于使用强密码。
  • 其他人是否可以访问您的手机而您不想访问您的帐户?然后绝对使用密码。

常见问题解答页面回答有关如何恢复/重置您的帐户的问题。

其它你可能感兴趣的问题
上一篇Chrome 扩展:跨域请求 下一篇全新安装的 Windows 7 易受攻击?