Quelle est la sécurité de la clé de compte Yahoo?
J'ai (ainsi qu'un milliard d'autres personnes) été informé de mon compte Yahoo! compte potentiellement compromis hier. Bien que cela ne m'inquiète pas (j'ai changé de mot de passe depuis, j'ai un mot de passe très long et complexe, et ne le réutilise pas), ils ont pris le temps de signaler clé de compte Yahoo fonctionnalité. Il s'agit d'une fonctionnalité où, lorsque vous vous connectez, il envoie une notification à Yahoo! sur votre téléphone mobile, et vous devez l'approuver avant que la connexion puisse continuer.
Vous n'aurez plus besoin de vous souvenir de mots de passe compliqués lorsque vous utilisez la clé de compte Yahoo pour accéder à votre compte. Pour vous connecter, appuyez sur "Oui" sur la notification que nous envoyons à votre téléphone mobile. Lorsque la clé de compte est activée, il n'y a pas de mot de passe sur votre compte, donc personne d'autre que vous ne peut vous connecter.
Cela semble similaire à l'option Google TFA, Google Prompt, qui est certainement meilleure que la simple authentification à facteur unique. Mais la différence ici est que même si Google requiert le mot de passe ET l'invite, Yahoo n'a pas besoin du mot de passe: il s'agit donc d'une authentification à un seul facteur, juste un facteur différent.
Dans quelle mesure est-ce sûr, par rapport à un bon mot de passe complexe, long, jamais réutilisé? Existe-t-il des méthodes connues pour renverser les notifications des téléphones portables qui pourraient affecter quelque chose comme ça?
J'ai un appareil iOS, fonctionnant sous iOS, mais je souhaite la bienvenue aux réponses qui incluent des détails sur les risques côté téléphone pour d'autres téléphones/situations (bien que j'aimerais que mon scénario soit couvert, de préférence). J'ai aussi mon Yahoo! compte connecté à mon compte Google (qui est protégé par 2FA, à l'aide de Google Prompt), et sauvegarder mon téléphone sur iCloud. J'ai un mot de passe à 6 chiffres et une authentification par empreinte digitale à ce sujet. Je ne suis pas particulièrement préoccupé par une attaque ciblée (je n'ai aucune raison particulière d'en craindre une, de ne pas connaître quelqu'un qui est suffisamment qualifié pour faire quelque chose comme ça ni avoir suffisamment d'informations précieuses ou d'argent pour être ciblé); il s'agit principalement d'attaques de nature générale.
Je ne m'inquiète pas de comprendre la différence dans la façon dont cela fonctionne; J'ai une bonne compréhension des deux. Je me concentre ici sur la comparaison des risques; même si j'ai une bonne compréhension des mots de passe et des risques inhérents à 1FA avec les mots de passe, je n'ai pas une bonne idée des risques inhérents à 1FA avec les notifications mobiles et comment équilibrer les deux.
Comme vous le faites remarquer, ce n'est pas du TFA. Il vous offre simplement 2 façons différentes d'accéder à votre compte. Vous pouvez choisir la manière dont vous vous sentez la plus sûre pour votre situation: un mot de passe ou un appareil physique (tel que votre téléphone).
Avantages du mot de passe: Personne ne devrait jamais pouvoir accéder à votre compte via les mécanismes de connexion fournis sans connaître votre mot de passe. Si votre mot de passe est suffisamment long et complexe pour ne pouvoir être deviné que par force brute, alors même si Yahoo a été piraté et des hachages de mot de passe ont été volés, il est extrêmement peu probable que votre mot de passe soit piraté avant que vous ne soyez informé que vous devez changes le.
Inconvénients du mot de passe: Votre mot de passe pourrait être compromis sans que vous le sachiez. Par exemple, cela peut se produire si vous entrez votre mot de passe à partir d'un ordinateur compromis (enregistreur de frappe) ou lorsque vous utilisez un réseau compromis (attaque MITM) et que vous cliquez sur l'avertissement du navigateur à propos d'un certificat non valide. Un autre inconvénient (facilité d'utilisation, pas de sécurité) est que si votre mot de passe est long et complexe, il est ennuyeux de le saisir manuellement sur un ordinateur où votre gestionnaire de mots de passe n'est pas installé.
Avantages de l'appareil: Quelqu'un aurait besoin d'avoir un accès physique à votre appareil pour se connecter. (Ou ils doivent être capables de faire ce que vous auriez à faire si vous perdiez votre appareil: réinitialiser votre mot de passe en ayant accès à votre e-mail et éventuellement être en mesure de répondre aux questions de sécurité vous concernant). Si vous avez votre appareil sur vous, vous pouvez être certain que personne n'utilise actuellement votre compte Yahoo.
Inconvénients de l'appareil: Si quelqu'un accède à votre appareil, il peut facilement accéder à votre compte. De plus, si vous perdez ou égarez votre appareil, vous ne pourrez pas utiliser votre compte tant que vous n'aurez pas à nouveau votre appareil, ou vous devrez récupérer votre compte avec une réinitialisation.
Quant à ce qui est le mieux dans votre situation, certaines choses à considérer:
- Utilisez-vous fréquemment des ordinateurs publics ou partagés? Ensuite, je me pencherais vers la clé de compte.
- Votre appareil est-il fréquemment laissé déverrouillé ou utilise-t-il un algorithme de protection faible (schéma simple, code d'accès facile à 4 chiffres)? Ensuite, penchez-vous peut-être vers un mot de passe fort.
- D'autres personnes ont-elles accès à votre téléphone que vous ne souhaitez pas avoir accès à votre compte? Utilisez alors définitivement un mot de passe.
Cette FAQ page répond aux questions sur la façon de récupérer/réinitialiser votre compte.