Mellékleteink: HUP | Gamekapocs
Keres
Felhőből visszaköltözéstől egészen egy banki malware evolúciójáig. Üzemeltetői és IT-biztonsági meetupokkal érkezünk!

Búcsút int a jelszavaknak a Yahoo

Hlács Ferenc, 2015. március 16. 10:30
Ez a cikk több évvel ezelőtt születetett, ezért előfordulhat, hogy a tartalma már elavult.
Frissebb anyagokat találhatsz a keresőnk segítségével:

Már jelszó nélkül is beléphetünk Yahoo-fiókunkba. A vállalat frissen bevezetett on-demand bejelentkeztetése a kétfaktoros autentikációra emlékezetet, noha annak első faktorát, a jelszót elhagyja, a belépéshez csak az üzenetben kapott kódra van szükség. A cég levelezőszolgáltatását is felturbózza, az hamarosan végpontok közötti titkosítást kap.

hirdetés

Radikális módszerrel igyekszik megoldani az elfelejtett jelszavak problémáját a Yahoo: a vállalat új kezdeményezésével egyszerűen megszabadul a belépési azonosítóktól. Az elképzelés lényege, hogy a cég a kétlépéses bejelentkeztetéshez hasonlóan, üzenetben küldi ki a véletlenszerűen generált jelszavakat a felhasználók telefonjaira - csak épp az első lépés, a regisztrációkor megadott jelszó begépelése marad ki.

Már most használható

A megoldás értelemszerűen kevésbé biztonságos mint kétfaktoros társa, hiszen az adott felhasználó telefonját megszerezve egyszerűen megkaparintható a rendszer által kiküldött négyjegyű belépőkód. Amíg azonban a készülék biztonságban van, kifejezetten kényelmes megoldás lehet, főleg azoknak, akik hajlamosak elfelejteni jelszavaikat. A funkció bekapcsolásához először a hagyományos módszerrel kell bejelentkezni a Yahoo fiókba, majd a biztonsági beállítások menüjében kell aktiválni az on-demand opciót, illetve megadni a kód fogadásához használt telefonszámot.

A beállítást követően, a Yahoo bejelentkezési felületére navigálva a felhasználót nem a megszokott jelszómező fogadja, hanem egy "jelszó küldése" gomb, amelyre kattintva a szolgáltatás automatikusan kiküldi az azonosítót a megadott számra. Dylan Casey a vállalat alelnöke szerint ez az első lépés a jelszavak teljes megszüntetéséhez - noha kérdéses, hogy azoknak csak a biztonság részleges feláldozásával inthetünk-e búcsút. Hasonló törekvések más vállalatoknál is megfigyelhetők, főként az okostelefon-gyártóknál, akik jellemzően valamilyen biometrikus azonosítással igyekeznek megkönnyíteni a bejelentkezést különböző szolgáltatásokba - utóbbira persze egy asztali PC esetében ritkán van lehetőség.

A funkció ugyanakkor vélhetően a felhasználó által gyakran használt számítógépekre korlátozódik, hiszen ahhoz szükség van az adott információkat (mint például a telefonszám) tároló cookie-kra is. Ha egy ismerős notebookjáról, netán nyilvános terminálról szeretnénk bejelentkezni, továbbra is szükség lesz a hagyományos jelszóra.

Titkosított levelezés - legalábbis részben

A Yahoo email szolgáltatását is felturbózza: az üzenetküldést végpontok közötti titkosítással vértezi fel. Az SxSW konferencián demózott megoldást a cég egy a Google által készített, egyelőre alfa fázisban lévő, End-to-End névre hallgató Chrome kiegészítőről mintázta, amely felhasználóbarát titkosítást ígér és várhatóan még idén megjelenik. Az End-to-Endről itt már korábban is megemlékeztünk. Bár a titkosítás kétségtelenül biztonságosabbá teszi a Yahoo levelezőszolgáltatását, sajnos nincs szó teljes körű megoldásról: néhány adat, mint a feladó és az üzenet címzettje, továbbá a küldés ideje továbbra is titkosítatlan marad - ezekre a levél képbesítéséhez szüksége van a levelezőrendszereknek. A funkció ráadásul nem is lesz alapértelmezetten aktív, a cég arra számít, a felhasználók azt csak a "kifejezetten érzékeny" emailek esetében veszik igénybe. Az on-demand bejelentkeztetéssel ellentétben a végpontok közötti email-titkosítás egyelőre nem elérhető, a vállalat szerint azt az idei év végéhez közeledve kapcsolják be.

Facebook

Mit gondolsz? Mondd el!

Adatvédelmi okokból az adott hír megosztása előtt mindig aktiválnod kell a gombot! Ezzel a megoldással harmadik fél nem tudja nyomon követni a tevékenységedet a HWSW-n, ez pedig közös érdekünk.
4-4 klassz téma a HWSW júniusi üzemeltetői és IT-biztonsági meetupjain. Nézz meg a programot!