科技行者

行者学院 转型私董会 科技行者专题报道 网红大战科技行者

知识库

知识库 安全导航

至顶网安全频道应用安全别让双因素验证成为华而不实的装饰

别让双因素验证成为华而不实的装饰

  • 扫一扫
    分享文章到微信

  • 扫一扫
    关注官方公众号
    至顶头条

双因素验证的重要标准是第二个安全因素是强制性的。但是,如果有人可以绕过这一层安全,那该怎么办?这就好比你在前门额外加一把锁,但是侧门却敞开着。

来源:ZDNet安全频道 2013年6月27日

关键字: 雅虎 双因素认证

  • 评论
  • 分享微博
  • 分享邮件

ZDNET安全频道 06月27日 综合消息:双因素验证虽然不是所向披靡,但是它可以为账户安全增加一层安全保障。

双因素验证的重要标准是第二个安全因素是强制性的。但是,如果有人可以绕过这一层安全,那该怎么办?这就好比你在前门额外加一把锁,但是侧门却敞开着。

但这就是雅虎在自己系统上干的事儿,虽然雅虎有足够的时间对其进行纠正。

雅虎的可选式双因素系统除了要求用户输入常规密码外,还要求用户把手机接收到的一次性密码输入系统。但是在Yahoo Messenger和邮件服务中却没有要求用户使用第二个验证因素。所以就可以绕过雅虎的双因素验证。

尽管通过Web界面登录到雅虎邮箱不会提示用户使用第二个验证因素,但是如果用户通过其他方式试图登录到某个相同邮箱的账户,就不会受到阻碍。例如,即便开启双因素验证,在不通过第二个验证因素的情况下,用户仍然可以登录到Yahoo IMAP邮件服务器。

别让双因素验证成为华而不实的装饰

输入“高度安全”的密码后,通过IMAP登录账户,期间不需要通过第二个验证因素。

至顶在5月20日曾向雅虎安全团队报道过邮箱存在的这个问题,并在同一天对其澳大利亚的公司信息沟通代表发出了警告。我们从雅虎安全团队收到了一条自动回复,而本地的沟通团队称会将这个问题提交给美国总部。雅虎美国的沟通团队在5月27日介入处理此事。

我们没有从安全团队收到任何反馈,但是再告知雅虎之后,我们相信6月20日足以解决完这件事情,雅虎美国的新闻发言人在6月22日告诉我们,雅虎公司了解过这件事情,不过并没有将其视为一个漏洞。

“我们现在为使用雅虎邮件Web入口的用户提供双因素验证,但是我们没有在IMAP上做这种要求。因为如果我们在IMAP执行双因素验证,估计会影响用户体验,而且双因素验证与我们的用户浏览器和邮件客户端并不兼容。”

雅虎对待这件事情的态度令我有些惊讶,雅虎没有意识到为什么双因素验证需要覆盖到所有登陆点。我想不止我一个人有这样的想法——雅虎计划部署的双因素验证只是为了赶潮流,让用户觉得安全而已吗?

对旧系统和IMAP这类协议的支持其实是一个比较难的问题。谷歌已经证明了这一点,而谷歌也没有为IMAP提供真正的可立即使用的双因素验证。但是,谷歌仍然会在用户登录IMAP时,要求用户提供特定应用的密码。

之所以给雅虎“找茬”,也是希望它的账户安全能有所改善。如果一家公司打算为产品添加安全特性,就应该确保这种安全特性行之有效。虽然这不会让上千用户的邮件账户处于威胁之中,但却是在误导客户,让用户相信自己的双因素验证可以有效阻止不法者的攻击。

    • 评论
    • 分享微博
    • 分享邮件
    邮件订阅

    如果您非常迫切的想了解IT领域最新产品与技术信息,那么订阅至顶网技术邮件将是您的最佳途径之一。

    重磅专题
    往期文章
    最新文章