web-dev-qa-db-ja.com

Yahooアカウントキーはどのくらい安全ですか?

私(10億人ほどの他の人と共に)にYahoo!昨日アカウントが侵害された可能性があります。私はそれについて心配していませんが(その後パスワードを変更し、非常に長く複雑なパスワードを使用し、再利用しません)、時間をかけて指摘しました Yahooアカウントキー 機能。ログイン時にYahoo!に通知を送信する機能です。あなたの携帯電話のアプリ、そしてあなたはログインを続けることができる前にそれを承認する必要があります。

Yahooアカウントキーを使用してアカウントにアクセスするときに、複雑なパスワードを覚えておく必要がなくなります。ログインするには、携帯電話に送信される通知で[はい]をタップします。アカウントキーを有効にすると、アカウントにパスワードが設定されないため、あなた以外の誰もサインインできなくなります。

これは、Google TFAオプションのGoogleプロンプトに似ています。これは、単一要素認証よりも確かに優れています。ただし、ここでの違いは、Googleはパスワードとプロンプトを必要としますが、Yahooはパスワードを必要としないことです。つまり、これは単一要素認証であり、異なる要素です。

良い、複雑で、長く、決して再利用されないパスワードと比較して、これはどの程度安全ですか?このような何かに影響を与える可能性のある携帯電話の通知を覆す既知の方法はありますか?


私はiOSデバイスを使用していて、在庫のiOSを実行していますが、他の電話/状況の電話側のリスクに関する詳細を含む回答を歓迎します(ただし、私のシナリオをカバーしたいのですが)。 Yahoo!もあります。私のGoogleアカウント(2FAで保護されており、Googleプロンプトを使用)に接続されているアカウントと、私の電話をiCloudにバックアップします。その上に6桁のパスコードと指紋認証があります。私は特に標的型攻撃を心配していません(標的型攻撃を恐れる特別な理由はありません。このようなことをするのに十分なスキルがある人も、標的とする価値のある十分な価値のある情報やお金も持っていません)。これは主に本質的に一般的な攻撃に関するものです。

これらがどのように機能するかの違いを理解する必要はありません。私は両方をよく理解しています。ここでは、リスクを比較することに焦点を当てています。私はパスワードとパスワード付き1FAに固有のリスクを十分に理解していますが、モバイル通知付き1FAに固有のリスクとその2つのバランスを取る方法についてはよく理解していません。

4
Joe

ご指摘のとおり、これはTFAではありません。それは単にあなたにあなたのアカウントにアクセスするための2つの異なる方法を提供しています。状況に応じて安全性を高める方法として、パスワード、または物理的なデバイス(電話など)を選択できます。

パスワードの利点:パスワードを知らなくても、提供されているログインメカニズムを介してアカウントにアクセスすることはできません。パスワードが十分に長く複雑で、ブルートフォースでしか推測できない場合、Yahooがハッキングされてパスワードハッシュが盗まれた場合でも、通知する前にパスワードがハッキングされる可能性は非常に低いです。それを変更。

パスワードの不利な点:知らないうちにパスワードが危険にさらされる可能性があります。たとえば、侵入先のコンピュータ(キーロガー)からパスワードを入力した場合や、侵入先のネットワーク(MITM攻撃)を使用しているときに、無効な証明書に関するブラウザの警告をクリックしてしまった場合に、これが発生する可能性があります。もう1つの欠点(セキュリティではなく使いやすさ)は、パスワードが長く複雑な場合、パスワードマネージャーがインストールされていないコンピューターに手動で入力するのは面倒です。

デバイスの利点:誰かがログインするには、デバイスに物理的にアクセスする必要があります。 (または、デバイスを紛失した場合に実行する必要があることを実行できる必要があります。電子メールにアクセスしてパスワードをリセットし、場合によってはセキュリティに関する質問に答えることができます)。あなたがあなたのデバイスをあなたに持っているならば、あなたは現在誰もあなたのYahooアカウントを使用していないことをかなり確信することができます。

デバイスの短所:誰かがあなたのデバイスにアクセスした場合、彼らは簡単にあなたのアカウントにアクセスできます。さらに、デバイスを紛失したり紛失したりした場合は、デバイスを再び入手するか、リセットしてアカウントを復元する必要があるまで、アカウントを使用できません。

どちらがあなたの状況に適しているかについては、考慮すべきいくつかのこと:

  • 公共または共有のコンピュータを頻繁に使用していますか?それから私はアカウントキーに寄りかかります。
  • デバイスが頻繁にロック解除されたままになっている、または弱い保護アルゴリズム(簡単なパターン、簡単な4桁のパスコード)を使用していますか?次に、おそらく強力なパスワードを使用します。
  • アカウントにアクセスしたくない他の人があなたの電話にアクセスしていますか?次に、必ずパスワードを使用します。

この [〜#〜] faq [〜#〜] ページは、アカウントを回復/リセットする方法に関する質問に回答します。

2
TTT