لماذا ياهو نظام كلمة المرور الجديدة عند الطلب ليس قاتل المصادقة اثنين عامل

في محاولة لتبسيط المصادقة لخدماتها ، قدمت ياهو آلية جديدة تسمح للمستخدمين بتسجيل الدخول بكلمات مرور مؤقتة يتم إرسالها إلى هواتفهم المحمولة.

إذا كان هذا يبدو وكأنه نظام مصادقة ثنائية ، حيث يحتاج المستخدمون إلى توفير رموز لمرة واحدة يتم إرسالها إلى هواتفهم المحمولة بالإضافة إلى كلمات المرور الثابتة الخاصة بهم ، فهي ليست كذلك. كان لدى ياهو بالفعل هذا الخيار.

وبدلاً من ذلك ، فإن آلية تسجيل الدخول الجديدة ، والتي تستند إلى ما تدعو إليه كلمات المرور عند الطلب من ياهو ، لا تزال تعتمد على عامل واحد ، رقم هاتف المستخدم.

[المزيد من القراءة: How لإزالة البرامج الضارة من جهاز الكمبيوتر الذي يعمل بنظام تشغيل Windows لديك

يمكن فقط لمستخدمي Yahoo - هؤلاء الموجودين في الولايات المتحدة في الوقت الحالي - تشغيل الميزة الجديدة من إعدادات أمان حساباتهم على موقع Yahoo. سيحتاجون إلى تقديم رقم هاتف ثم يؤكدون أنه يمكنهم الوصول إليه عن طريق إدخال رمز تحقق يتم إرساله إليهم عبر الرسائل القصيرة.

بمجرد إعداد النظام ، في المرة التالية التي يريدون فيها تسجيل الدخول ، سيستخدم مستخدمو Yahoo رؤية زر يقول "أرسل كلمة المرور الخاصة بي" بدلاً من حقل إدخال كلمة المرور التقليدية. سيؤدي النقر فوق هذا الزر إلى إرسال كلمة مرور مؤقتة من أربعة أحرف عبر الرسائل القصيرة.

لا يزال غير مثالي

يوفر النظام الجديد أمانًا أفضل من كلمات المرور الثابتة ، والتي يمكن سرقتها بطرق متنوعة ، ولكنها ليست فعالة كمصادقة ثنائية لأنها تعتمد فقط على مدى أمان هاتف المستخدم.

"المصادقة الثنائية أكثر أمانًا لأنها تتطلب من المهاجم اختراق أكثر من جزء واحد من المعلومات ليكون ناجحًا" ، قال تيم إيرلين مدير إدارة المنتجات بشركة الأمن Tripwire عبر البريد الإلكتروني. "بينما ترفع ياهو عبء تذكر كلمة المرور ، فإنها تحافظ على هدف واحد للتسوية: رسائل SMS الخاصة بك. يمكن استخدام البرامج الضارة على هاتفك للاستيلاء على تلك الرسائل القصيرة ، ومن ثم الوصول الكامل إلى حسابك. "

تعد القدرة على اعتراض الرسائل النصية وسرقتها وإخفائها أمرًا شائعًا بالنسبة إلى البرامج الضارة للجوّال ، خاصةً للتهديدات التي تستهدف مستخدمي الخدمات المصرفية عبر الإنترنت الذين يحصلون على المعاملات ورموز التفويض الأخرى عبر الرسائل القصيرة.

"لا يمكن إلا أن يكون أمرًا جيدًا أن تسعى علامة تجارية معروفة في مجال التكنولوجيا إلى طرق مختلفة لإصلاح كلمة المرور."

بالإضافة إلى ذلك ، إذا كان فقد الهاتف أو ترك دون إشراف ، ويمكن استخدامه لإنشاء كلمة مرور لحساب البريد الإلكتروني ياهو صاحب الهاتف. كما أظهرت العديد من الحوادث ، يمكن أن يكون حساب البريد الإلكتروني للشخص عبارة عن بوابة لمزيد من التنازلات ، لأنه يمكن استخدامه لإعادة تعيين كلمة المرور لحسابات المستخدم على مواقع ويب أخرى.

سوف يستهدف منشئو البرامج الضارة بشكل متزايد منصات المحمول بسبب الدور الهام وقال TK Keanini ، CTO في شركة لانكوبي الأمنية ، عبر البريد الإلكتروني: إنهم يلعبون لأمن المستخدمين عبر الإنترنت. "من المهم أيضًا في هذه الأيام ضمان أمان حساب الهاتف المحمول لأنك لا ترغب في أن يقوم المهاجمون بتغيير ميزات مثل إعادة توجيه المكالمات والميزات الأخرى التي يمكن وضعها في منتصف تدفق الاتصال هذا."

ما زالت خطوة مشجعة

وقد حذر الباحثون لسنوات من أن كلمات المرور الثابتة لم تعد توفر حماية كافية للحسابات عبر الإنترنت ، لذلك فإن أي جهد لاستبدالها بشيء آخر هو موضع ترحيب بشكل عام.

يبقى أن نرى مدى ضعف نظام ياهو الجديد ، "ولكن يقول كريس بويد ، محلل استخبارات البرمجيات الخبيثة في Malwarebytes ، عبر البريد الإلكتروني: "لا يمكن إلا أن يكون أمرًا جيدًا أن تسعى علامة تجارية معروفة في مجال التكنولوجيا إلى إيجاد طرق مختلفة لتجديد كلمة المرور". سيظل بويد يختار عاملين أكثر من المصادقة الفردية في أي وقت.

لذا ، إذا كنت قد قمت بالفعل بتمكين "التحقق من خطوتين" على حساب ياهو الخاص بك ، فمن الأفضل الالتزام به وعدم التبديل إلى "جديد" تمرير الطلب كلمة "النظام. يبدو أن الاثنين غير متوافقين وأن التبديل إلى كلمات مرور حسب الطلب قد يؤدي في الواقع إلى تخفيض مستوى أمان حسابك ، وفقًا لما ذكره إيرلين.

حتى مع العوائق المحتملة ، "من الجيد أن نرى ياهو تحاول معالجة مشكلة كلمة المرور ،" قال جاريد دي موت ، الباحث الرئيسي في الأمن في بروميوم ، عبر البريد الإلكتروني. ومع ذلك ، فإن معظم المستخدمين لن يفعلوا سوى ما هو مطلوب منهم بشكل افتراضي فقط ، "لذلك إذا كانت الشركات جادة بشأن أمان تسجيل الدخول بشكل أفضل ، فسيكون من الضروري تعديل الخيار الافتراضي."

في الوقت الراهن ، نظام كلمات المرور الجديد عند الطلب في Yahoo يتطلب من المستخدمين الاشتراك.