Yahoos nye on-demand-adgangskodesystem erstatter ikke to-faktor-godkendelse

I et forsøg på at forenkle autentificering af dets tjenester har Yahoo introduceret en ny mekanisme, der giver brugerne mulighed for at logge ind med midlertidige adgangskoder, der sendes til deres mobiltelefoner.

Hvis dette lyder som et tofaktors godkendelsessystem, hvor brugere har brug for at give engangskoder sendt til deres mobiltelefoner ud over deres statiske adgangskoder, er det ikke. Yahoo havde allerede denne mulighed.

I stedet er den nye login-mekanisme, der er baseret på hvad Yahoo kalder on-demand-adgangskoder, stadig afhængig af en enkelt faktor, brugerens telefonnummer.

Yahoo-brugere - kun dem, der er baseret i USA i øjeblikket - kan aktivere den nye funktion fra deres kontosikkerhedsindstillinger på Yahoos websted. De bliver nødt til at angive et telefonnummer og derefter bekræfte, at de har adgang til det ved at indtaste en bekræftelseskode, der er sendt til dem via SMS.

Når systemet er konfigureret, næste gang de vil logge på, vil Yahoo-brugere se en knap, der siger "send min adgangskode" i stedet for et traditionelt kodeordinputfelt. Ved at klikke på den knap sendes dem en midlertidig adgangskode til fire tegn via SMS.

Det nye system tilbyder bedre sikkerhed end statiske adgangskoder, som kan stjæles på forskellige måder, men det er ikke så effektivt som tofaktorautentisering, fordi det udelukkende afhænger af, hvor sikker brugerens telefon er.

”To-faktor-godkendelse er mere sikker, fordi det kræver, at en angriberen går på kompromis med mere end et enkelt stykke information for at få succes,” sagde Tim Erlin, direktør for produktstyring i sikkerhedsfirmaet Tripwire, via e-mail. ”Mens Yahoo løfter byrden ved at huske en adgangskode, opretholder de et enkelt mål for kompromis: dine SMS-beskeder. Malware på din telefon kan bruges til at hente disse SMS-beskeder og derefter have fuld adgang til din konto. ”

Evnen til at aflytte, stjæle og skjule tekstbeskeder er almindelig for mobil malware, især for trusler, der er rettet mod online bankbrugere, der ofte modtager transaktioner og andre tilladelseskoder via SMS.

Derudover, hvis en telefon går tabt eller ikke overvåges, kan den bruges til at generere en adgangskode til telefonsejerens Yahoo-e-mail-konto. Som mange hændelser har vist, kan en persons e-mail-konto være en gateway til yderligere kompromiser, fordi den kan bruges til at nulstille adgangskoden til brugerens konti på andre websteder.

Malware-skabere vil i stigende grad målrette mobilplatforme på grund af den vigtige rolle, de spiller for brugernes online sikkerhed, sagde TK Keanini, CTO hos sikkerhedsfirmaet Lancope, via e-mail. "Det er også vigtigt i disse dage at sikre, at mobilkontoen er sikker, fordi du ikke ønsker, at angribere skal ændre funktioner som viderestilling af opkald og andre funktioner, der kan sætte dem midt i denne kommunikationsstrøm."

Forskere har advaret i årevis om, at statiske adgangskoder ikke længere giver tilstrækkelig beskyttelse for onlinekonti, så enhver indsats for at erstatte dem med noget andet er generelt velkommen.

Det skal stadig ses, hvor sårbart Yahoos nye system er, ”men det kan kun være en god ting, at et velkendt brand inden for teknologiområdet søger forskellige måder at gendanne adgangskoden på,” sagde Chris Boyd, en malware-efterretningsanalytiker hos Malwarebytes, via e-mail.

Givet et valg, vil Boyd dog stadig vælge tofaktorer frem for enkeltfaktorautentisering når som helst.

Så hvis du allerede har "totrinsbekræftelse" aktiveret på din Yahoo-konto, er det bedre at holde sig til det og ikke skifte til det nye "on-demand password" -system. De to ser ud til at være uforenelige, og at skifte til on-demand-adgangskoder kunne faktisk nedjustere din kontos sikkerhed, ifølge Erlin.

Selv med de potentielle ulemper, "er det godt at se Yahoo forsøge at løse kodeordsproblemet," sagde Jared DeMott, vigtigste sikkerhedsforsker ved Bromium, via e-mail. De fleste brugere vil imidlertid kun gøre, hvad der kræves af dem som standard, "så hvis virksomheder er seriøse over bedre login-sikkerhed, skal standardvalget ændres."

For tiden kræver Yahoos nye on-demand-adgangskodesystem brugere at tilmelde sig.

Deltag i Network World-samfundene på Facebook og LinkedIn for at kommentere emner, der er øverste af sindet.