Yahoos nya lösenordssystem på begäran ersätter inte tvåfaktorsautentisering

I ett försök att förenkla autentisering för sina tjänster har Yahoo infört en ny mekanism som gör det möjligt för användare att logga in med tillfälliga lösenord som skickas till deras mobiltelefoner.

Om detta låter som ett tvåfaktors autentiseringssystem där användare måste tillhandahålla engångskoder som skickas till sina mobiltelefoner utöver sina statiska lösenord är det inte. Yahoo hade redan det alternativet.

Istället förlitar sig den nya inloggningsmekanismen, som är baserad på vad Yahoo ringer on-demand-lösenord, fortfarande på en enda faktor, användarens telefonnummer.

Yahoo-användare - bara de som är baserade i USA för nu - kan aktivera den nya funktionen från sina kontosäkerhetsinställningar på Yahoos webbplats. De måste ange ett telefonnummer och sedan bekräfta att de har tillgång till det genom att ange en verifieringskod som skickas till dem via SMS.

När systemet har konfigurerats kommer Yahoo-användare nästa gång de vill logga in se en knapp som säger ”skicka mitt lösenord” istället för ett traditionellt inmatningsfält för lösenord. Om du klickar på den knappen skickar de ett tillfälligt lösenord med fyra tecken via SMS.

Det nya systemet erbjuder bättre säkerhet än statiska lösenord, som kan stulas på olika sätt, men det är inte lika effektivt som tvåfaktorautentisering eftersom det enbart beror på hur säker användarens telefon är.

"Tvåfaktorsautentisering är säkrare eftersom det kräver en angripare att kompromissa med mer än en enda information för att bli framgångsrik", säger Tim Erlin, chef för produkthantering på säkerhetsföretaget Tripwire, via e-post. ”Medan Yahoo lyfter bördan på att komma ihåg ett lösenord, behåller de ett enda mål för kompromiss: dina SMS-meddelanden. Malware på din telefon kan användas för att ta tag i dessa SMS och sedan ha full åtkomst till ditt konto. "

Möjligheten att avlyssna, stjäla och dölja textmeddelanden är vanligt för mobilt skadlig programvara, särskilt för hot som riktar sig till onlinebankanvändare som ofta får transaktioner och andra behörighetskoder via SMS.

Om en telefon förloras eller lämnas utan tillsyn kan den dessutom användas för att skapa ett lösenord för telefonägarens Yahoo-e-postkonto. Som många händelser har visat kan en persons e-postkonto vara en gateway för ytterligare kompromisser, eftersom det kan användas för att återställa lösenordet för användarens konton på andra webbplatser.

Malware-skapare kommer alltmer att rikta in sig på mobila plattformar på grund av den viktiga roll de spelar för användarnas online-säkerhet, säger TK Keanini, CTO på säkerhetsföretaget Lancope, via e-post. "Det är också viktigt i dag att se till att mobilkontot är säkert eftersom du inte vill att angripare ska ändra funktioner som vidarekoppling och andra funktioner som kan sätta dem i mitten av denna kommunikationsström."

Forskare har under flera år varnat för att statiska lösenord inte längre ger tillräckligt skydd för onlinekonton, så alla ansträngningar att ersätta dem med något annat är i allmänhet välkomna.

Det återstår att se hur sårbart Yahoos nya system är, "men det kan bara vara bra att ett välkänt varumärke inom teknikområdet söker olika sätt att förbättra lösenordet," sa Chris Boyd, en intelligensanalytiker vid skadlig programvara Malwarebytes, via e-post.

Med tanke på ett val skulle Boyd emellertid fortfarande välja tvåfaktorer framför enfaktorsautentisering när som helst.

Så om du redan har "tvåstegsverifiering" aktiverat på ditt Yahoo-konto är det bättre att hålla sig till det och inte byta till det nya "on-demand password" -systemet. De två verkar vara inkompatibla och att byta till on-demand-lösenord kan faktiskt nedgradera ditt kontos säkerhet, enligt Erlin.

Även med de potentiella nackdelarna, "är det bra att se Yahoo försöka lösa lösenordsproblemet", säger Jared DeMott, huvudsaklig säkerhetsforskare på Bromium, via e-post. De flesta användare kommer dock bara att göra bara vad som krävs av dem som standard, "så om företag menar allvar med bättre inloggningssäkerhet måste standardvalet ändras."

För tillfället kräver Yahoos nya lösenordssystem på begäran användare att välja in.

Gå med i nätverkets världssamhällen på Facebook och LinkedIn för att kommentera ämnen som är övertygade.