Yo (junto con un billón o más de otras personas) fue notificado acerca de mi Yahoo! La cuenta está potencialmente comprometida ayer. Si bien no me preocupa eso (he cambiado mi contraseña desde entonces, tengo una contraseña muy larga y compleja, y no la reutilice), se tomaron el tiempo de señalar Yahoo Account Key . Esta es una función en la que, cuando inicia sesión, envía una notificación a Yahoo! en su teléfono móvil, y debe aprobarlo antes de que pueda continuar el inicio de sesión.
Ya no necesitará recordar contraseñas complicadas cuando use la Clave de cuenta de Yahoo para acceder a su cuenta. Para iniciar sesión, pulse "Sí" en la notificación que enviamos a su teléfono móvil. Con la clave de cuenta habilitada, no hay ninguna contraseña en su cuenta, por lo que nadie más que usted puede iniciar sesión.
Esto parece similar a la opción TFA de Google, Google Prompt, que ciertamente es mejor que la autenticación de un solo factor. Pero la diferencia aquí es que mientras Google requiere la contraseña Y el mensaje, Yahoo no requiere la contraseña: por lo tanto, esto es autenticación de factor único, solo un factor diferente.
¿Qué tan seguro es esto, en comparación con una contraseña buena, compleja, larga y nunca reutilizada? ¿Existen métodos conocidos para subvertir las notificaciones de teléfonos móviles que podrían afectar algo como esto?
Tengo un dispositivo iOS, con iOS en existencia, pero bienvenidas respuestas que incluyen detalles sobre los riesgos del lado del teléfono para otros teléfonos / situaciones (aunque me gustaría que mi escenario esté cubierto, de preferencia). También tengo mi Yahoo! cuenta conectada a mi cuenta de Google (que está protegida con 2FA, usando el Aviso de Google), y hace una copia de seguridad de mi teléfono hasta iCloud. Tengo una contraseña de 6 dígitos y la autenticación de huellas dactilares en eso. No estoy particularmente preocupado por un ataque dirigido (no tengo ninguna razón particular para temerlo, no conozco a alguien que tenga la habilidad suficiente para hacer algo como esto, ni tengo suficiente información valiosa o dinero para que valga la pena apuntar); se trata principalmente de ataques de naturaleza general.
No me preocupa entender la diferencia en cómo funcionan estos; Tengo un buen entendimiento de ambos. Me estoy enfocando aquí en tratar de comparar los riesgos; Aunque tengo un buen conocimiento de las contraseñas y los riesgos inherentes en 1FA con las contraseñas, no tengo una idea clara de los riesgos inherentes en 1FA con las notificaciones móviles y cómo equilibrar las dos.