专业的信息化与通信融合产品选型平台及垂直门户
注册 登陆 设为首页 加入收藏
首页 企业新闻 招标信息 行业应用 厂商专区 活动 商城 中标信息

资讯
中心

新闻中心 人物观点
厂商专区 市场分析
行业
应用
政府机构 能源产业 金融机构
教育科研 医疗卫生 交通运输
应用
分类
统一协作 呼叫客服 IP语音 视频会议 智能管理 数据库
数字监控 信息安全 IP储存 移动应用 云计算 物联网

TOP

雅虎宣布邮件免口令登录 安全专家表示不服
2015-10-27 17:21:09 来源:安全牛 作者:【
关键词:登录 雅虎邮箱 Tumblr
 
雅虎邮箱本月将迎来它的第18个生日,18年来这项邮箱服务每天都在以各种方式进步。上周,雅虎宣布其邮件服务又添新版本,承诺用户能以全新方式免口令安全登录邮箱。

  雅虎近日宣布了一项新的免口令电子邮件系统,但安全专家对免密码的未来持怀疑态度。

  雅虎邮箱本月将迎来它的第18个生日,18年来这项邮箱服务每天都在以各种方式进步。上周,雅虎宣布其邮件服务又添新版本,承诺用户能以全新方式免口令安全登录邮箱。

  雅虎邮箱免口令登录的基础是一项该公司称之为“雅虎账户密钥”的技术。雅虎产品管理副总裁迪兰·凯西在轻博客Tumblr发表博文解释了账户密钥的运作:账号密钥利用了移动设备的推送通知为用户提供登录雅虎账户的便捷方式。

  “账户密钥以安全、优雅、易用的界面与登录过程无缝衔接,使登录过程就像轻触一个按钮那么简单。”凯西说,“这种登录方式还比传统密码登录更安全,因为一旦你激活了账户密钥,即使其他人知道了你的账户信息他们也不能登录进去。”

  但一些安全专家们却对雅虎承诺的这项免密码服务的未来表示了怀疑。

  Risk Based Security首席信息安全官杰克·阔恩斯说,长期以来各种密码就是用户十足的痛苦源泉。

  “没人喜欢被迫记忆又长又臭的密码,更别提还要经常改密码了。在Risk Based Security,我们跟踪了超过2.68亿个被曝出的账户和凭证,其中很多都导致了数据泄露,因此绝对有必要研究出密码之外的解决方案。”

  阔恩斯说,如果雅虎能成功地想出有效免去密码的安全方法,那对用户绝对是有力的吸引。然而,他补充道:“表面上,雅虎的方式凸显了免密码特性,但不幸的是,实际上看来并没有真正改善安全。”

  雅虎的方式偏离了普遍认为的行之有效的最佳实践——双因子身份验证(用户拥有的+用户知道的)。

  Unit 221b的网络安全和情报顾问兰斯·詹姆斯说,雅虎的免密码方式不过是个“噱头”,并不能真正解决问题。“你必须使用电话号码的事实就是不明智的,主要是因为电话号码本身就是除密码外另一个被买卖的数据项。一步登录很有趣,但电话或智能手表本来就不应该被信任、被解锁,或留在其他人能接触到的地方。”

  詹姆斯说,鉴于移动设备恶意软件问题越来越突出,新系统现在就面临着简单的攻击方式——如果攻击者某种程度上有能力入侵手机,雅虎的免密码系统就是个风险。

  “如果攻击者只是用被侵入的安卓手机(比iPhone更容易侵入)找出雅虎用户名并登录进雅虎账户,在用户不知情的情况下转发那条登录消息或者直接点击‘是’按钮对他们而言是十分简单的事。”

  詹姆斯说,雅虎的新方式不会带来太大的改变。“我不认为长期来看这一功能会对很多常见攻击造成什么重要影响。”

      

责任编辑:admin
免责声明:以上内容转载互联网平台或企业单位自行提供,对内容的真实性、准确性和合法性不负责,Voipchina网对此不承担任何法律责任。

】【打印繁体】【投稿】【收藏】 【推荐】【举报】【评论】 【关闭】 【返回顶部

上一篇调查显示大数据时代网站和APP泄露..
下一篇看了这些你还觉得安全吗?黑客可..

热门文章

图片主题

最新文章

相关文章

广告位

Copyright@2003-2009 网络通信中国(原VoIP中国) 版权所有
联系方式:503927495@qq.com
  京ICP备05067673号-1 京公网安1101111101259