Seguridad de la nueva autenticación de Yahoo: contraseña a pedido

5

Yahoo está intentando eliminar las contraseñas de la autenticación y utiliza en -demand contraseña sistema de autenticación en su lugar.

Me pregunto cómo será seguro este nuevo sistema. Incluso si alguien roba su teléfono móvil puede acceder fácilmente a su correo electrónico con su SIM, o los gobiernos pueden usar su poder para iniciar sesión en su correo electrónico forzando a los proveedores de servicios.

¿Esta contraseña a pedido es segura en absoluto?

    
pregunta Mohammad ali baghershemirani 25.07.2015 - 19:50
fuente

1 respuesta

7

De alguna manera, es más seguro que una contraseña, pero como lo describe, también hace que las cuentas sean más vulnerables a otros vectores de ataque.

Como práctica recomendada, la autenticación de dos factores correctamente implementada ofrece una seguridad muy superior a un solo factor, independientemente de si ese único factor es una contraseña memorizada o una contraseña "a pedido".

Vulnerabilidad reducida a los ataques basados en Internet

Puedo ver la lógica de por qué Yahoo ha implementado este sistema de autenticación alternativo. Sin embargo, como una de las formas principales en que los spammers, los robots automatizados de hackeo de correo electrónico y los hackers humanos obtienen acceso a las cuentas de Yahoo es mediante la reutilización de la contraseña. El correo electrónico de Yahoo es un gran servicio que ha existido durante mucho tiempo; y muchos de sus usuarios continuos no son expertos en tecnología. Por lo tanto, a menudo reutilizan contraseñas en diferentes sitios; incluso va tan lejos como para registrarse con su correo electrónico de yahoo. Entonces su cuenta se ve comprometida, y vemos spam, solicitudes de estafa (correos electrónicos de "He sido secuestrado, por favor, dinero", etc.) y similares.

Además, los ataques de malware típicos, como los registradores de teclas y la interceptación de contraseñas, no podrán obtener acceso a la cuenta, simplemente porque la contraseña solo se podrá usar una vez; y una vez expirado un sistema remoto no pudo obtener acceso. Esto reduce la vulnerabilidad a un método muy común para que las partes malintencionadas accedan al correo electrónico de otras personas.

Por lo tanto, si esos usuarios cambiaran a este sistema de contraseña basado en teléfono, estos vectores de ataque serían eliminados en gran medida.

Mayor vulnerabilidad a los ataques físicos

Sin embargo, como señala, esto abre un nuevo vector de ataque, ya que si el teléfono del usuario se ve comprometido, uno podría acceder fácilmente a su cuenta. Esto cambia el vector de ataque de remoto (hacks basados en internet de otros países) a un hack físico. Por lo tanto, cualquier persona con acceso físico a su dispositivo desbloqueado puede obtener acceso a su correo electrónico desde otra computadora. Sin embargo, los usuarios normalmente tienen su correo electrónico sincronizado con su teléfono, por lo que si este fuera el caso, cualquier persona con acceso al dispositivo podría simplemente leer el correo electrónico desde el teléfono también.

Seguridad de SMS

También está la cuestión de la seguridad de SMS. Si un código proporcionado por SMS es todo lo que se necesita para iniciar sesión, es vulnerable a varios ataques de espionaje, especialmente de los dispositivos "Stingray" provistos a las agencias de aplicación de la ley en todo EE. UU. Además, como señala, hay un ataque físico menos sofisticado: robar la tarjeta SIM (y posiblemente clonarla) e insertarla en otro dispositivo y activar el mensaje. Esto abre un nuevo vector de ataque, pero nuevamente está localizado ya que el atacante debe estar físicamente cerca (o tener equipo cerca) del objetivo. La autenticación de dos factores carece de esta vulnerabilidad porque el otro factor (por ejemplo, una contraseña) no sería vulnerable al mismo ataque.

Los gobiernos tienen formas más efectivas

Sobre el tema de los gobiernos, generalmente pueden utilizar medios legales para obtener datos de los proveedores, por lo que es menos probable que ataquen una cuenta de correo electrónico basada en la web a través de un pirateo; y obtenga la información del proveedor o obligue al objetivo a entregar la contraseña o los datos.

Utilice la autenticación de dos factores como una mejor práctica

Sin embargo, si un usuario desea tomar realmente las mejores medidas que razonablemente pueda para mantener su correo electrónico seguro, usar la autenticación de dos factores es la mejor opción y no se debe confiar en un solo factor, sin importar cuál sea. .

    
respondido por el Herringbone Cat 25.07.2015 - 20:05
fuente

Lea otras preguntas en las etiquetas