Yahoo's nieuwe wachtwoordsysteem op aanvraag is geen vervanging voor tweefactorauthenticatie

In een poging de authenticatie voor zijn diensten te vereenvoudigen, heeft Yahoo een nieuw mechanisme geïntroduceerd waarmee gebruikers kunnen inloggen met tijdelijke wachtwoorden die naar hun mobiele telefoons worden gestuurd.

Als dit klinkt als een tweefactorauthenticatiesysteem waarbij gebruikers naast hun statische wachtwoorden eenmalige codes moeten invoeren die naar hun mobiele telefoon worden gestuurd. Yahoo had die optie al.

In plaats daarvan vertrouwt het nieuwe inlogmechanisme, dat is gebaseerd op wat Yahoo on-demand wachtwoorden noemt, nog steeds op één enkele factor, het telefoonnummer van de gebruiker.

Yahoo-gebruikers - alleen degenen die momenteel in de Verenigde Staten zijn gevestigd - kunnen de nieuwe functie inschakelen via hun accountbeveiligingsinstellingen op de site van Yahoo. Ze moeten een telefoonnummer opgeven en vervolgens bevestigen dat ze er toegang toe hebben door een verificatiecode in te voeren die ze via sms hebben ontvangen.

Als het systeem eenmaal is ingesteld en de volgende keer dat ze willen inloggen, zien Yahoo-gebruikers een knop met de tekst 'stuur mijn wachtwoord' in plaats van een traditioneel wachtwoordinvoerveld. Als u op die knop klikt, ontvangt u per SMS een tijdelijk wachtwoord van vier tekens.

Het nieuwe systeem biedt betere beveiliging dan statische wachtwoorden, die op verschillende manieren kunnen worden gestolen, maar het is niet zo effectief als tweefactorauthenticatie omdat het alleen afhangt van hoe veilig de telefoon van de gebruiker is.

"Twee-factor-authenticatie is veiliger omdat het vereist dat een aanvaller meer dan één enkel stuk informatie compromitteert om succesvol te zijn", zei Tim Erlin, directeur productbeheer bij beveiligingsbedrijf Tripwire, via e-mail. “Terwijl Yahoo de last van het onthouden van een wachtwoord opheft, behouden ze één enkel doelwit voor compromissen: uw sms-berichten. Malware op uw telefoon kan worden gebruikt om die sms-berichten op te halen en heeft vervolgens volledige toegang tot uw account. '

De mogelijkheid om sms-berichten te onderscheppen, te stelen en te verbergen is gebruikelijk voor mobiele malware, met name voor bedreigingen die gericht zijn op gebruikers van online bankieren die vaak transactie- en andere autorisatiecodes ontvangen via sms.

Als een telefoon verloren gaat of zonder toezicht wordt achtergelaten, kan deze bovendien worden gebruikt om een ​​wachtwoord te genereren voor het Yahoo-e-mailaccount van de telefooneigenaar. Zoals veel incidenten hebben aangetoond, kan iemands e-mailaccount een toegangspoort zijn voor verdere compromissen, omdat het kan worden gebruikt om het wachtwoord voor de gebruikersaccounts op andere websites opnieuw in te stellen.

Malwaremakers zullen zich in toenemende mate richten op mobiele platforms vanwege de belangrijke rol die ze spelen voor de online beveiliging van gebruikers, zei TK Keanini, CTO bij beveiligingsbedrijf Lancope, via e-mail. "Het is tegenwoordig ook belangrijk om ervoor te zorgen dat het mobiele account veilig is, omdat je niet wilt dat aanvallers functies zoals doorschakelen en andere functies die hen in het midden van deze communicatiestroom kunnen plaatsen, veranderen."

Onderzoekers waarschuwen al jaren dat statische wachtwoorden niet langer voldoende bescherming bieden voor online accounts, dus elke poging om ze te vervangen door iets anders is over het algemeen welkom.

Het valt nog te bezien hoe kwetsbaar het nieuwe systeem van Yahoo is, "maar het kan alleen maar goed zijn dat een bekend merk op technologisch gebied op zoek is naar verschillende manieren om het wachtwoord te vernieuwen", zegt Chris Boyd, een malware-intelligentieanalist bij Malwarebytes, via e-mail.

Gegeven een keuze zou Boyd echter op elk moment nog steeds kiezen voor twee-factor boven single-factor authenticatie.

Dus als je al "tweestapsverificatie" hebt ingeschakeld op je Yahoo-account, kun je er beter aan vasthouden en niet overschakelen naar het nieuwe "wachtwoord op aanvraag" -systeem. De twee lijken niet compatibel te zijn en het overschakelen naar wachtwoorden op aanvraag kan volgens Erlin de beveiliging van je account in gevaar brengen.

Zelfs met de mogelijke nadelen, "is het goed om te zien dat Yahoo het wachtwoordprobleem probeert aan te pakken", zei Jared DeMott, hoofdonderzoeker beveiliging bij Bromium, via e-mail. De meeste gebruikers zullen echter alleen doen wat standaard van hen wordt verlangd, "dus als bedrijven serieus zijn over een betere inlogbeveiliging, moet de standaardkeuze worden gewijzigd."

Voorlopig vereist het nieuwe on-demand wachtwoordsysteem van Yahoo dat gebruikers zich moeten aanmelden.

Word lid van de Network World-gemeenschappen op Facebook en LinkedIn om commentaar te geven op onderwerpen die voorop staan.