雅虎近日宣布了一項(xiàng)新的免口令電子郵件系統(tǒng),但安全專家對(duì)免密碼的未來持懷疑態(tài)度。
雅虎郵箱本月將迎來它的第18個(gè)生日,18年來這項(xiàng)郵箱服務(wù)每天都在以各種方式進(jìn)步。上周,雅虎宣布其郵件服務(wù)又添新版本,承諾用戶能以全新方式免口令安全登錄郵箱。
雅虎郵箱免口令登錄的基礎(chǔ)是一項(xiàng)該公司稱之為“雅虎賬戶密鑰”的技術(shù)。雅虎產(chǎn)品管理副總裁迪蘭·凱西在輕博客Tumblr發(fā)表博文解釋了賬戶密鑰的運(yùn)作:賬號(hào)密鑰利用了移動(dòng)設(shè)備的推送通知為用戶提供登錄雅虎賬戶的便捷方式。
“賬戶密鑰以安全、優(yōu)雅、易用的界面與登錄過程無縫銜接,使登錄過程就像輕觸一個(gè)按鈕那么簡單。”凱西說,“這種登錄方式還比傳統(tǒng)密碼登錄更安全,因?yàn)橐坏┠慵せ盍速~戶密鑰,即使其他人知道了你的賬戶信息他們也不能登錄進(jìn)去。”
但一些安全專家們卻對(duì)雅虎承諾的這項(xiàng)免密碼服務(wù)的未來表示了懷疑。
Risk Based Security首席信息安全官杰克·闊恩斯說,長期以來各種密碼就是用戶十足的痛苦源泉。
“沒人喜歡被迫記憶又長又臭的密碼,更別提還要經(jīng)常改密碼了。在Risk Based Security,我們跟蹤了超過2.68億個(gè)被曝出的賬戶和憑證,其中很多都導(dǎo)致了數(shù)據(jù)泄露,因此絕對(duì)有必要研究出密碼之外的解決方案。”
闊恩斯說,如果雅虎能成功地想出有效免去密碼的安全方法,那對(duì)用戶絕對(duì)是有力的吸引。然而,他補(bǔ)充道:“表面上,雅虎的方式凸顯了免密碼特性,但不幸的是,實(shí)際上看來并沒有真正改善安全。”
雅虎的方式偏離了普遍認(rèn)為的行之有效的最佳實(shí)踐——雙因子身份驗(yàn)證(用戶擁有的+用戶知道的)。
Unit 221b的網(wǎng)絡(luò)安全和情報(bào)顧問蘭斯·詹姆斯說,雅虎的免密碼方式不過是個(gè)“噱頭”,并不能真正解決問題。“你必須使用電話號(hào)碼的事實(shí)就是不明智的,主要是因?yàn)殡娫捥?hào)碼本身就是除密碼外另一個(gè)被買賣的數(shù)據(jù)項(xiàng)。一步登錄很有趣,但電話或智能手表本來就不應(yīng)該被信任、被解鎖,或留在其他人能接觸到的地方。”
詹姆斯說,鑒于移動(dòng)設(shè)備惡意軟件問題越來越突出,新系統(tǒng)現(xiàn)在就面臨著簡單的攻擊方式——如果攻擊者某種程度上有能力入侵手機(jī),雅虎的免密碼系統(tǒng)就是個(gè)風(fēng)險(xiǎn)。
“如果攻擊者只是用被侵入的安卓手機(jī)(比iPhone更容易侵入)找出雅虎用戶名并登錄進(jìn)雅虎賬戶,在用戶不知情的情況下轉(zhuǎn)發(fā)那條登錄消息或者直接點(diǎn)擊‘是’按鈕對(duì)他們而言是十分簡單的事。”
詹姆斯說,雅虎的新方式不會(huì)帶來太大的改變。“我不認(rèn)為長期來看這一功能會(huì)對(duì)很多常見攻擊造成什么重要影響。”