¿Qué tan segura es la clave de la cuenta de Yahoo?

5

Yo (junto con un billón o más de otras personas) fue notificado acerca de mi Yahoo! La cuenta está potencialmente comprometida ayer. Si bien no me preocupa eso (he cambiado mi contraseña desde entonces, tengo una contraseña muy larga y compleja, y no la reutilice), se tomaron el tiempo de señalar Yahoo Account Key . Esta es una función en la que, cuando inicia sesión, envía una notificación a Yahoo! en su teléfono móvil, y debe aprobarlo antes de que pueda continuar el inicio de sesión.

  

Ya no necesitará recordar contraseñas complicadas cuando use la Clave de cuenta de Yahoo para acceder a su cuenta. Para iniciar sesión, pulse "Sí" en la notificación que enviamos a su teléfono móvil. Con la clave de cuenta habilitada, no hay ninguna contraseña en su cuenta, por lo que nadie más que usted puede iniciar sesión.

Esto parece similar a la opción TFA de Google, Google Prompt, que ciertamente es mejor que la autenticación de un solo factor. Pero la diferencia aquí es que mientras Google requiere la contraseña Y el mensaje, Yahoo no requiere la contraseña: por lo tanto, esto es autenticación de factor único, solo un factor diferente.

¿Qué tan seguro es esto, en comparación con una contraseña buena, compleja, larga y nunca reutilizada? ¿Existen métodos conocidos para subvertir las notificaciones de teléfonos móviles que podrían afectar algo como esto?

Tengo un dispositivo iOS, con iOS en existencia, pero bienvenidas respuestas que incluyen detalles sobre los riesgos del lado del teléfono para otros teléfonos / situaciones (aunque me gustaría que mi escenario esté cubierto, de preferencia). También tengo mi Yahoo! cuenta conectada a mi cuenta de Google (que está protegida con 2FA, usando el Aviso de Google), y hace una copia de seguridad de mi teléfono hasta iCloud. Tengo una contraseña de 6 dígitos y la autenticación de huellas dactilares en eso. No estoy particularmente preocupado por un ataque dirigido (no tengo ninguna razón particular para temerlo, no conozco a alguien que tenga la habilidad suficiente para hacer algo como esto, ni tengo suficiente información valiosa o dinero para que valga la pena apuntar); se trata principalmente de ataques de naturaleza general.

No me preocupa entender la diferencia en cómo funcionan estos; Tengo un buen entendimiento de ambos. Me estoy enfocando aquí en tratar de comparar los riesgos; Aunque tengo un buen conocimiento de las contraseñas y los riesgos inherentes en 1FA con las contraseñas, no tengo una idea clara de los riesgos inherentes en 1FA con las notificaciones móviles y cómo equilibrar las dos.

    
pregunta Joe 15.12.2016 - 18:20
fuente

1 respuesta

2

Como usted señala, esto no es TFA. Simplemente le proporciona 2 formas diferentes de acceder a su cuenta. Puede elegir la forma en que se sienta más seguro para su situación: una contraseña o un dispositivo físico (como su teléfono).

Ventajas de la contraseña: Nadie debería poder acceder a su cuenta a través de los mecanismos de inicio de sesión provistos sin saber su contraseña. Si su contraseña es lo suficientemente larga y compleja, de modo que solo se puede adivinar mediante fuerza bruta, incluso si Yahoo fue pirateado y se robaron los hashes de contraseña, es extremadamente improbable que su contraseña sea hackeada antes de que se le notifique que necesita cambiarlo.

Desventajas de la contraseña: Su contraseña podría ser comprometida sin que usted lo sepa. Por ejemplo, esto podría suceder si ingresa su contraseña desde una computadora comprometida (keylogger) o cuando usa una red comprometida (ataque MITM) y hace clic en la advertencia del navegador acerca de un certificado no válido. Otra desventaja (usabilidad, no seguridad) es que si su contraseña es larga y compleja, es molesto ingresarla manualmente en una computadora donde su administrador de contraseñas no está instalado.

Ventajas del dispositivo: Alguien necesitaría tener acceso físico a su dispositivo para iniciar sesión. (O deben ser capaces de hacer lo que tendría que hacer si perdiera su dispositivo: restablezca su contraseña teniendo acceso a su correo electrónico y posiblemente sea capaz de responder preguntas de seguridad sobre usted). Si tiene su dispositivo puesto, entonces puede estar bastante seguro de que actualmente nadie está usando su cuenta de Yahoo.

Desventajas del dispositivo: Si alguien obtiene acceso a su dispositivo, puede acceder fácilmente a su cuenta. Además, si pierde o extravía su dispositivo, no podrá usar su cuenta hasta que vuelva a tener su dispositivo, o tendrá que recuperar su cuenta con un reinicio.

En cuanto a cuál es mejor en su situación, algunas cosas a considerar:

  • ¿Utilizas con frecuencia computadoras públicas o compartidas? Entonces me inclinaría hacia la clave de la cuenta.
  • ¿Se deja su dispositivo frecuentemente desbloqueado o utiliza un algoritmo de protección débil (patrón fácil, código de acceso fácil de 4 dígitos)? Entonces quizás te inclines hacia una contraseña segura.
  • ¿Otras personas tienen acceso a su teléfono que no desea que tenga acceso a su cuenta? Entonces definitivamente use una contraseña.

Esta página Preguntas frecuentes responde preguntas sobre cómo recuperarse / restablecer su cuenta.

    
respondido por el TTT 15.12.2016 - 18:34
fuente

Lea otras preguntas en las etiquetas