【文章摘要】雅虎近日宣布了一项新的免口令电子邮件系统,但安全专家对免密码的未来持怀疑态度。
雅虎邮箱本月将迎来它的第18个生日,18年来这项邮箱服务每天都在以各种方式进步。上周,雅虎宣布其邮件服务又添新版本,承诺用户能以全新方式免口令安全登录邮箱。
雅虎邮箱免口令登录的基础是一项该公司称之为“雅虎账户密钥”的技术。雅虎产品管理副总裁迪兰·凯西在轻博客Tumblr发表博文解释了账户密钥的运作:账号密钥利用了移动设备的推送通知为用户提供登录雅虎账户的便捷方式。
“账户密钥以安全、优雅、易用的界面与登录过程无缝衔接,使登录过程就像轻触一个按钮那么简单。”凯西说,“这种登录方式还比传统密码登录更安全,因为一旦你激活了账户密钥,即使其他人知道了你的账户信息他们也不能登录进去。”
但一些安全专家们却对雅虎承诺的这项免密码服务的未来表示了怀疑。
Risk Based Security首席信息安全官杰克·阔恩斯说,长期以来各种密码就是用户十足的痛苦源泉。
“没人喜欢被迫记忆又长又臭的密码,更别提还要经常改密码了。在Risk Based Security,我们跟踪了超过2.68亿个被曝出的账户和凭证,其中很多都导致了数据泄露,因此绝对有必要研究出密码之外的解决方案。”
阔恩斯说,如果雅虎能成功地想出有效免去密码的安全方法,那对用户绝对是有力的吸引。然而,他补充道:“表面上,雅虎的方式凸显了免密码特性,但不幸的是,实际上看来并没有真正改善安全。”
阔恩斯说,如果雅虎能成功地想出有效免去密码的安全方法,那对用户绝对是有力的吸引。然而,他补充道:“表面上,雅虎的方式凸显了免密码特性,但不幸的是,实际上看来并没有真正改善安全。”
雅虎的方式偏离了普遍认为的行之有效的最佳实践——双因子身份验证(用户拥有的+用户知道的)。
Unit 221b的网络安全和情报顾问兰斯·詹姆斯说,雅虎的免密码方式不过是个“噱头”,并不能真正解决问题。“你必须使用电话号码的事实就是不明智的,主要是因为电话号码本身就是除密码外另一个被买卖的数据项。一步登录很有趣,但电话或智能手表本来就不应该被信任、被解锁,或留在其他人能接触到的地方。”
詹姆斯说,鉴于移动设备恶意软件问题越来越突出,新系统现在就面临着简单的攻击方式——如果攻击者某种程度上有能力入侵手机,雅虎的免密码系统就是个风险。
詹姆斯说,鉴于移动设备恶意软件问题越来越突出,新系统现在就面临着简单的攻击方式——如果攻击者某种程度上有能力入侵手机,雅虎的免密码系统就是个风险。
“如果攻击者只是用被侵入的安卓手机(比iPhone更容易侵入)找出雅虎用户名并登录进雅虎账户,在用户不知情的情况下转发那条登录消息或者直接点击‘是’按钮对他们而言是十分简单的事。”
詹姆斯说,雅虎的新方式不会带来太大的改变。“我不认为长期来看这一功能会对很多常见攻击造成什么重要影响。”
詹姆斯说,雅虎的新方式不会带来太大的改变。“我不认为长期来看这一功能会对很多常见攻击造成什么重要影响。”
【关键词】雅虎 邮箱 免密码 免口令