it-swarm.com.de

Wie sicher ist der Yahoo Account Key?

Ich (zusammen mit ungefähr einer Milliarde anderen Menschen) wurde über mein Yahoo! Konto möglicherweise gestern kompromittiert. Obwohl ich mir darüber keine Sorgen mache (ich habe mein Passwort seitdem geändert, habe ein sehr langes und komplexes Passwort und verwende es nicht wieder), haben sie sich die Zeit genommen, um auf das hinzuweisen ) Yahoo Account Key Funktion. Dies ist eine Funktion, bei der beim Anmelden eine Benachrichtigung an Yahoo! App auf Ihrem Mobiltelefon, und Sie müssen dies genehmigen, bevor die Anmeldung fortgesetzt werden kann.

Sie müssen sich keine komplizierten Passwörter mehr merken, wenn Sie den Yahoo-Kontoschlüssel für den Zugriff auf Ihr Konto verwenden. Um sich anzumelden, tippen Sie in der Benachrichtigung, die wir an Ihr Mobiltelefon senden, auf "Ja". Wenn der Kontoschlüssel aktiviert ist, enthält Ihr Konto kein Kennwort, sodass sich nur Sie anmelden können.

Dies scheint der Google TFA-Option Google Prompt zu ähneln, die sicherlich besser ist als nur die Einzelfaktorauthentifizierung. Der Unterschied besteht jedoch darin, dass Google zwar das Kennwort UND die Eingabeaufforderung benötigt, Yahoo jedoch nicht das Kennwort. Dies ist also eine Einzelfaktorauthentifizierung, nur ein anderer Faktor.

Wie sicher ist dies im Vergleich zu einem guten, komplexen, langen und nie wiederverwendeten Passwort? Gibt es bekannte Methoden, um Handy-Benachrichtigungen zu untergraben, die sich auf so etwas auswirken könnten?


Ich habe ein iOS-Gerät, auf dem Standard-iOS ausgeführt wird, begrüße jedoch Antworten, die Details zu Telefonseitenrisiken für andere Telefone/Situationen enthalten (obwohl mein Szenario vorzugsweise behandelt werden soll). Ich habe auch mein Yahoo! Konto, das mit meinem Google-Konto (das mit 2FA mithilfe von Google Prompt geschützt ist) verbunden ist, und Sicherung meines Telefons auf iCloud. Ich habe einen 6-stelligen Passcode und eine Fingerabdruck-Authentifizierung. Ich mache mir keine besonderen Sorgen um einen gezielten Angriff (ich habe keinen besonderen Grund, einen zu befürchten, kenne niemanden, der über ausreichende Fähigkeiten verfügt, um so etwas zu tun, und habe nicht genügend wertvolle Informationen oder Geld, um es wert zu sein, gezielt angegriffen zu werden). Hierbei handelt es sich in erster Linie um allgemeine Angriffe.

Ich bin nicht besorgt darüber, wie unterschiedlich diese funktionieren. Ich habe ein gutes Verständnis von beiden. Ich konzentriere mich hier darauf, die Risiken zu vergleichen. Obwohl ich ein gutes Verständnis für Passwörter und die mit 1FA verbundenen Risiken mit Passwörtern habe, habe ich kein gutes Verständnis für die mit 1FA verbundenen Risiken bei mobilen Benachrichtigungen und für die Abwägung der beiden.

4
Joe

Wie Sie hervorheben, ist dies keine TFA. Es bietet Ihnen lediglich zwei verschiedene Möglichkeiten, auf Ihr Konto zuzugreifen. Sie können wählen, wie Sie sich für Ihre Situation sicherer fühlen: ein Passwort oder ein physisches Gerät (z. B. Ihr Telefon).

Passwortvorteile: Niemand sollte jemals über die bereitgestellten Anmeldemechanismen auf Ihr Konto zugreifen können, ohne Ihr Passwort zu kennen. Wenn Ihr Passwort so lang und komplex ist, dass es nur mit brutaler Gewalt erraten werden kann, ist es selbst bei einem Hacking von Yahoo und einem Diebstahl von Passwort-Hashes äußerst unwahrscheinlich, dass Ihr Passwort gehackt wird, bevor Sie darüber informiert werden ändern Sie es.

Passwortnachteile: Ihr Passwort könnte kompromittiert werden, ohne dass Sie es wissen. Dies kann beispielsweise passieren, wenn Sie Ihr Kennwort von einem kompromittierten Computer (Keylogger) eingeben oder wenn Sie ein kompromittiertes Netzwerk verwenden (MITM-Angriff) und zufällig durch die Browserwarnung über ein ungültiges Zertifikat klicken. Ein weiterer Nachteil (Benutzerfreundlichkeit, nicht Sicherheit) besteht darin, dass es bei langen und komplexen Kennwörtern ärgerlich ist, es manuell auf einem Computer einzugeben, auf dem Ihr Kennwortmanager nicht installiert ist.

Gerätevorteile: Jemand muss physischen Zugriff auf Ihr Gerät haben, um sich anzumelden. (Oder sie müssen in der Lage sein, das zu tun, was Sie tun müssten, wenn Sie Ihr Gerät verloren hätten: Setzen Sie Ihr Passwort zurück, indem Sie Zugriff auf Ihre E-Mail haben und möglicherweise Sicherheitsfragen über Sie beantworten können.) Wenn Sie Ihr Gerät auf sich haben, können Sie ziemlich sicher sein, dass derzeit niemand Ihr Yahoo-Konto verwendet.

Geräte-Nachteile: Wenn jemand Zugriff auf Ihr Gerät erhält, kann er problemlos auf Ihr Konto zugreifen. Wenn Sie Ihr Gerät verlieren oder verlegen, können Sie Ihr Konto erst verwenden, wenn Sie Ihr Gerät wieder haben, oder Sie müssen Ihr Konto mit einem Reset wiederherstellen.

Was in Ihrer Situation besser ist, sind einige Dinge zu beachten:

  • Verwenden Sie häufig öffentliche oder gemeinsam genutzte Computer? Dann würde ich mich zum Kontoschlüssel beugen.
  • Wird Ihr Gerät häufig entsperrt oder verwendet es einen schwachen Schutzalgorithmus (einfaches Muster, einfacher 4-stelliger Passcode)? Dann lehnen Sie sich vielleicht zu einem starken Passwort.
  • Haben andere Personen Zugriff auf Ihr Telefon, auf das Sie keinen Zugriff haben möchten? Dann verwenden Sie auf jeden Fall ein Passwort.

Diese FAQ Seite beantwortet Fragen zum Wiederherstellen/Zurücksetzen Ihres Kontos.

2
TTT