Yahoo skifter til engangsnøgler: Glem dit password!

Amerikanske Yahoo-brugere kan nu bruge en automatisk genereret, unik adgangskode, der sendes til brugerens mobil.

Yahoo indfører nu en-faktor-sikkerhed til logins. Brugere kan nu vælge at logge ind ved hjælp af en unik adgangskode, der sendes til deres mobile enhed. Det betyder, at de ikke længere skal bruge et traditionelt kodeord, skriver Yahoo.

Modsat to-faktor-sikkerhed, hvor man kombinerer en traditionel adgangskode med eksempelvis en SMS, er der her tale om udelukkende at få tilsendt en adgangskode. Frem for det traditionelle felt, hvor man indtaster sin adgangskode, er der nu en knap, der gør det muligt at få tilsendt en automatisk genereret, unik adgangskode.

Vicedirektør i Yahoo Dylan Casey siger til Cnet, at funktionen er det første skridt til at eliminere adgangskoder.

Funktionen er indtil videre kun tilgængelig for amerikanske brugere.

Det er ikke det eneste skridt, Yahoo har taget for at forbedre sikkerheden. Yahoo siger til Washington Post, at de senere på året introducerer såkaldt end-to-end-kryptering. Funktionen vil ikke være aktiveret som standard, men gør det muligt at sende mail mere sikkert end i dag. Informationer om modtager, emnelinje og tidspunkt vil fortsat være ukrypteret, men selve indholdet vil udelukkende være tilgængeligt for afsender og modtager.

Tips og korrekturforslag til denne historie sendes til tip@version2.dk
Kommentarer (7)
sortSortér kommentarer
  • Ældste først
  • Nyeste først
  • Bedste først
Milos Game

Så med andre ord, så kan jeg "låne" (midlertidigt) en anden persons mobiltelefon (f.eks. en ven) og logge ind på hans Yahoo konto, ved at bede Yahoo sende mig engangskoden (og derefter slette SMS'en så han ikke fatter mistanke).

Iøvrigt så er SMS-løsninger ustabile, især internationalt, hvilket jeg erfarede med noget Google system på et tidspunkt (muligvis to-faktor-sikkerhed).

Kenn Nielsen

Såeh...
Hvemsomhelt som kan kontrollere SMS-flow, kan så - via systemdesign - låse sig selv ind , og Yahoo er helt uden ansvar.
Hvemsomhelt som kan monitorere SMS-flow, kan så - via systemdesign - være man-in-the-middle, og/eller pinpointe den geografiske placering af brugeren.

Hmmmm...

K

Milos Game

Jeg har f.eks. en Yahoo konto, men bruger den ikke som min primær konto, og er derfor ikke logget ind på Yahoo.

Med Yahoos fantastiske nye system (one-time password via SMS), vil "enhver" (jf. ovenstående eksempel) kunne logge ind på min Yahoo konto - de skal bare låne min telefon.
Nu er der ingen forretningshemmeligheder på kontoen, men jeg kunne da forestille mig at det kunne blive et problem for nogen, der har lidt vigtigere ting.

Her er et andet (klassisk) eksempel: Som det er nu skal myndighederne have en retskendelse for at få adgang til kontoen, men med One-Time Password skal de bare "låne" din telefon (mens du er i deres varetægt) og kende dit mobilnummer.
Og ja, de skal først lige logge på din telefon via lock-screen - heldigvis har Apple, Samsung og andre givet dig muligheden for at logge på med dit fingeraftryk, som myndighederne nemt kan få fat på.

Anders Kjærgaard Hansen

Nu har SMS'er den fantastiske egenskab på mange telefoner at du kan læse dem uden at telefonen er låst op.

Så scenariet kunne sagtens være:
1. Sid ved laptop
2. Gå ind på mail.yahoo.com, og få tilsendt kode
3. Kig på telefon du har lånt om der kommer SMS på forsiden
4. Log ind på laptop.

Jeg er umiddelbart enig med Milos - det virker ikke helt gennemtænkt.

Jesper Lund

Hvemsomhelt som kan monitorere SMS-flow, kan så - via systemdesign - være man-in-the-middle, og/eller pinpointe den geografiske placering af brugeren.

Yep. For eksempel er der SS7 hacks, som giver muligheder for at forwarde SMS beskeder til en anden telefon. Skal kun have effekt ganske kortvarigt, hvorefter forward funktionen kan fjernes igen. Dvs. du opdager det næppe.

Log ind eller Opret konto for at kommentere
Brugerundersøgelse Version2
maximize minimize