Principal Software ¿Matar la contraseña? Yahoo lo prueba y funciona
Software

¿Matar la contraseña? Yahoo lo prueba y funciona

¿Yahoo es ridículo por sugerir a sus usuarios que no utilicen una contraseña en absoluto, sino una aplicación de teléfono inteligente que les da permiso para acceder a su correo electrónico? Para nada.PorGlenn Fleishman,Colaborador sénior, 16 de octubre de 2015 4:03 am PDT

Yahoo está intentando algo nuevo: decirles a sus usuarios que omitan una contraseña por completo en favor de una aplicación de teléfono inteligente a través de la cual un usuario otorga acceso cuando se intenta iniciar sesión. Esto parece, en palabras de un ingenio de Twitter, autenticación de dos factores (2FA) con un factor. ¿La clave de la cuenta de Yahoo está ofreciendo una decisión extraña que afectará poco a la seguridad de quienes tienen cuentas en su red?



Mi respuesta sencilla es: No. Yahoo quiere facilitar que sus usuarios tengan los beneficios de los inicios de sesión autorizados al tiempo que reduce la utilidad de las contraseñas robadas para los delincuentes, y eligió un método que es mejor que las contraseñas en casi todas las circunstancias. ¡Palabras fuertes, lo sé! No espero que otras empresas lo sigan de inmediato, pero Yahoo está tratando de destacarse.

Es tomar prestada una página de sistemas más sofisticados, como Seguridad Duo , que tiene una configuración más complicada y está diseñada para seguridad a escala corporativa, pero emplea los mismos principios básicos. Yahoo está llevando esta idea a las masas que pueden aprovechar las aplicaciones existentes.





¿La tarjeta Apple es una tarjeta de crédito?

El factor clave es la falta de contraseña

Analicemos cómo funciona su nuevo sistema de claves de cuentas de Yahoo. Lo he probado y funciona exactamente como Yahoo dice que debería hacerlo.

Primero, instale su nuevo Aplicación iOS para Yahoo Mail . Account Key funciona solo con esta aplicación e iniciando sesión en Yahoo en la web, pero se implementará en otras aplicaciones este año, dijo la compañía. en una publicación de blog .



A continuación, inicie sesión con su nombre de usuario y contraseña. Básicamente, estás convirtiendo la aplicación en un dispositivo confiable, al estilo de los viejos sistemas de dos pasos y los nuevos sistemas de dos factores de Apple, y por lo tanto tienes que presentar información actual. A continuación, toque el icono de perfil en la parte superior de la pantalla y toque Configuración. Toque Clave de cuenta y podrá habilitar el servicio. Yahoo te guía sabiamente a través de una demostración de aceptación y rechazo de conexiones para que puedas practicarla. Esto es importante para el usuario objetivo de esta función.

cómo cambiar el correo electrónico en su ID de Apple
inicio de sesión web privado i yahoo key

El sitio web de Yahoo pasa la aprobación de inicio de sesión a una aplicación de teléfono inteligente y ofrece alternativas si no funciona. Una vez aprobado en la aplicación, el inicio de sesión se completa automáticamente.

En mi prueba, fui a Yahoo.com para iniciar sesión en mi cuenta de correo electrónico. Ingresé la dirección e inmediatamente reconoció claramente que tenía la clave de cuenta activa, ya que el campo de contraseña cambió para leer Haga clic para usar la clave de cuenta, y el botón Iniciar sesión se transformó para leer Continuar. Una pantalla en el sitio web dice que está esperando aprobación, y su dispositivo iOS envía una notificación que se abre en una vista que le permite aceptar permitir el inicio de sesión o no.

notificación de la aplicación clave privada i yahoo

Los intentos de inicio de sesión se muestran como notificaciones si no está en la aplicación.

eliminar un archivo de la línea de comando
aprobación de la aplicación clave privada i yahoo

La aplicación Yahoo Mail le avisa cuando ocurre un intento de inicio de sesión en otro lugar. Has proporcionado mucha información contextual y una gran X roja si no está bien.

Para los usuarios más experimentados, tal vez todo esto les parezca demasiado trivial. ¿Cómo puede esto evitar que un inadmisible acceda a su cuenta si todo lo que necesitan es su contraseña para configurar una aplicación iOS? Pero la interacción es mucho más rica que eso.

Verdadero: debe comenzar utilizando una contraseña existente. Sin embargo, no hay forma de explotar esto en masa. Al igual que con muchos tipos de problemas de seguridad de la cuenta, existe una fuerte división entre poder atacar la cuenta de un objetivo individual (por robo, acoso, evidencia criminal y más) y tener grandes pilas de contraseñas que se pueden usar para atacar fajos de cuentas gigantes. .

Puedo conseguirlo para ti al por mayor

Yahoo convierte un inicio de sesión en una transacción minorista, donde alguien tiene que obtener su nombre de cuenta y contraseña, conectarlos a su aplicación en un dispositivo iOS o Android y tener todo el seguimiento asociado con eso.

cómo recuperar documentos de icloud

Una vez pasada la etapa de inicio de sesión, no tener una contraseña es mucho mas seguro que tener una contraseña para un gran número de personas. Los seres humanos normales eligen contraseñas fáciles de recordar, que a su vez se adivinan o descifran fácilmente. También suelen proporcionar contraseñas cuando se les hace phishing a través del correo electrónico o incluso cuando se manipulan por teléfono. Sin una contraseña, no hay nada que robar, excepto el dispositivo físico en el que está habilitada la opción Clave de cuenta.

Esto traslada la carga del ataque a la proximidad física y el conocimiento personal. Alguien que quiera ingresar a su cuenta de correo electrónico de Yahoo no puede hacerlo de forma remota: debe estar cerca de usted. No pueden hacerlo en silencio con solo tener acceso a su computadora: necesitan su teléfono y el teléfono debe estar desbloqueado. Si tiene una contraseña, ellos deben adivinarla o conocerla; con Touch ID, necesitan ... una de sus huellas digitales. Y no pueden hacerlo sin dejar rastro: estas conexiones se registran por hora, fecha y dirección IP.

Para un usuario que no quiere redactar contraseñas difíciles y quiere menos riesgo de ataque remoto, el enfoque de Yahoo es francamente brillante. También es más simple que no solo los inicios de sesión de dos factores, sino los inicios de sesión regulares con contraseñas, lo que podría llevar a una amplia adopción por parte de sus usuarios. Se necesita menos tiempo con una mayor garantía y actualidad de seguridad. La ventaja es que hace que cualquier error de seguridad de Yahoo sea menos importante, siempre que se requiera la interacción de la clave de cuenta para iniciar sesión.

Ahora, algunas personas quieren la seguridad adicional de un enfoque de dos pasos o de dos factores. En ambos casos, aún se requiere una contraseña, aunque no tiene que ser tan segura como cuando se usa de forma aislada. Un segundo paso (aprobar una conexión desde un dispositivo confiable) o un segundo factor (un bit único de información que no está disponible a través de la misma ruta de inicio de sesión). El nuevo sistema de dos factores (pero en realidad de dos pasos) de Apple primero solicita su aprobación para un inicio de sesión remoto mostrando su ubicación aproximada y requiriendo que haga clic en Permitir (o No permitir), antes de que le proporcione un código para complementar el paso de contraseña.

Tener dos pasos o factores combina algo que sabe (la contraseña), que quizás nunca se descifre o descubra, con algo más (una contraseña de un solo uso basada en el tiempo, un código enviado por SMS o algo que genera una aplicación) que debe Ser obtenido. Pero para la mayoría de la gente, la brecha entre lo que ofrece Yahoo y una contraseña simple es enorme y un impulso.

Espero variantes más sencillas del esquema de Yahoo que cambien el craqueo de la proximidad global a la física y, al mismo tiempo, lo conviertan en un mejor proceso para las personas que no quieren administrar su seguridad y al mismo tiempo se benefician de ella.