别让双因素验证成为华而不实的装饰

安全 数据安全
双因素验证虽然不是所向披靡,但是它可以为账户安全增加一层安全保障。双因素验证的重要标准是第二个安全因素是强制性的。但是,如果有人可以绕过这一层安全,那该怎么办?这就好比你在前门额外加一把锁,但是侧门却敞开着。

双因素验证虽然不是所向披靡,但是它可以为账户安全增加一层安全保障。

双因素验证的重要标准是第二个安全因素是强制性的。但是,如果有人可以绕过这一层安全,那该怎么办?这就好比你在前门额外加一把锁,但是侧门却敞开着。

但这就是雅虎在自己系统上干的事儿,虽然雅虎有足够的时间对其进行纠正。

雅虎的可选式双因素系统除了要求用户输入常规密码外,还要求用户把手机接收到的一次性密码输入系统。但是在Yahoo Messenger和邮件服务中却没有要求用户使用第二个验证因素。所以就可以绕过雅虎的双因素验证。

尽管通过Web界面登录到雅虎邮箱不会提示用户使用第二个验证因素,但是如果用户通过其他方式试图登录到某个相同邮箱的账户,就不会受到阻碍。例如,即便开启双因素验证,在不通过第二个验证因素的情况下,用户仍然可以登录到Yahoo IMAP邮件服务器。

别让双因素验证成为华而不实的装饰

输入“高度安全”的密码后,通过IMAP登录账户,期间不需要通过第二个验证因素。

至顶在5月20日曾向雅虎安全团队报道过邮箱存在的这个问题,并在同一天对其澳大利亚的公司信息沟通代表发出了警告。我们从雅虎安全团队收到了一条自动回复,而本地的沟通团队称会将这个问题提交给美国总部。雅虎美国的沟通团队在5月27日介入处理此事。

我们没有从安全团队收到任何反馈,但是再告知雅虎之后,我们相信6月20日足以解决完这件事情,雅虎美国的新闻发言人在6月22日告诉我们,雅虎公司了解过这件事情,不过并没有将其视为一个漏洞。

“我们现在为使用雅虎邮件Web入口的用户提供双因素验证,但是我们没有在IMAP上做这种要求。因为如果我们在IMAP执行双因素验证,估计会影响用户体验,而且双因素验证与我们的用户浏览器和邮件客户端并不兼容。”

雅虎对待这件事情的态度令我有些惊讶,雅虎没有意识到为什么双因素验证需要覆盖到所有登陆点。我想不止我一个人有这样的想法——雅虎计划部署的双因素验证只是为了赶潮流,让用户觉得安全而已吗?

对旧系统和IMAP这类协议的支持其实是一个比较难的问题。谷歌已经证明了这一点,而谷歌也没有为IMAP提供真正的可立即使用的双因素验证。但是,谷歌仍然会在用户登录IMAP时,要求用户提供特定应用的密码。

之所以给雅虎“找茬”,也是希望它的账户安全能有所改善。如果一家公司打算为产品添加安全特性,就应该确保这种安全特性行之有效。虽然这不会让上千用户的邮件账户处于威胁之中,但却是在误导客户,让用户相信自己的双因素验证可以有效阻止不法者的攻击。

责任编辑:蓝雨泪 来源: ZDNet
相关推荐

2013-03-15 14:47:13

YubiKeyUSB密钥双因素验证

2012-06-11 14:33:18

索尼LG

2013-06-18 09:54:37

微软Windows Azu

2021-07-27 05:49:04

双因素验证MFA网络安全

2010-04-20 10:00:29

2013-05-02 16:31:12

双因素身份验证微软

2011-06-28 11:10:19

2022-05-07 13:19:24

GitHub2FA

2013-02-26 10:05:04

IT人员程序员台湾IT

2013-09-29 13:52:31

2011-05-04 17:06:46

2011-05-04 16:40:00

2016-03-06 22:59:27

移动办公/华三

2016-08-12 09:56:07

2011-08-25 21:38:32

2015-10-10 13:22:26

2022-07-08 07:02:10

Python动态码OTP

2021-08-03 14:48:05

ChromeAndroid身份验证

2022-08-01 00:08:03

双因素认证2FA

2014-03-07 10:18:31

存储在线
点赞
收藏

51CTO技术栈公众号