别让双因素验证成为华而不实的装饰

ZDNET安全频道 06月27日 综合消息：双因素验证虽然不是所向披靡，但是它可以为账户安全增加一层安全保障。

双因素验证的重要标准是第二个安全因素是强制性的。但是，如果有人可以绕过这一层安全，那该怎么办?这就好比你在前门额外加一把锁，但是侧门却敞开着。

但这就是雅虎在自己系统上干的事儿，虽然雅虎有足够的时间对其进行纠正。

雅虎的可选式双因素系统除了要求用户输入常规密码外，还要求用户把手机接收到的一次性密码输入系统。但是在Yahoo Messenger和邮件服务中却没有要求用户使用第二个验证因素。所以就可以绕过雅虎的双因素验证。

尽管通过Web界面登录到雅虎邮箱不会提示用户使用第二个验证因素，但是如果用户通过其他方式试图登录到某个相同邮箱的账户，就不会受到阻碍。例如，即便开启双因素验证，在不通过第二个验证因素的情况下，用户仍然可以登录到Yahoo IMAP邮件服务器。

输入“高度安全”的密码后，通过IMAP登录账户，期间不需要通过第二个验证因素。

至顶在5月20日曾向雅虎安全团队报道过邮箱存在的这个问题，并在同一天对其澳大利亚的公司信息沟通代表发出了警告。我们从雅虎安全团队收到了一条自动回复，而本地的沟通团队称会将这个问题提交给美国总部。雅虎美国的沟通团队在5月27日介入处理此事。

我们没有从安全团队收到任何反馈，但是再告知雅虎之后，我们相信6月20日足以解决完这件事情，雅虎美国的新闻发言人在6月22日告诉我们，雅虎公司了解过这件事情，不过并没有将其视为一个漏洞。

“我们现在为使用雅虎邮件Web入口的用户提供双因素验证，但是我们没有在IMAP上做这种要求。因为如果我们在IMAP执行双因素验证，估计会影响用户体验，而且双因素验证与我们的用户浏览器和邮件客户端并不兼容。”

雅虎对待这件事情的态度令我有些惊讶，雅虎没有意识到为什么双因素验证需要覆盖到所有登陆点。我想不止我一个人有这样的想法——雅虎计划部署的双因素验证只是为了赶潮流，让用户觉得安全而已吗?

对旧系统和IMAP这类协议的支持其实是一个比较难的问题。谷歌已经证明了这一点，而谷歌也没有为IMAP提供真正的可立即使用的双因素验证。但是，谷歌仍然会在用户登录IMAP时，要求用户提供特定应用的密码。

之所以给雅虎“找茬”，也是希望它的账户安全能有所改善。如果一家公司打算为产品添加安全特性，就应该确保这种安全特性行之有效。虽然这不会让上千用户的邮件账户处于威胁之中，但却是在误导客户，让用户相信自己的双因素验证可以有效阻止不法者的攻击。