Das neue On-Demand-Passwortsystem von Yahoo ist kein Ersatz für die Zwei-Faktor-Authentifizierung

Um die Authentifizierung für seine Dienste zu vereinfachen, hat Yahoo einen neuen Mechanismus eingeführt, mit dem sich Benutzer mit temporären Kennwörtern anmelden können, die an ihre Mobiltelefone gesendet werden.

Wenn dies nach einem Zwei-Faktor-Authentifizierungssystem klingt, bei dem Benutzer zusätzlich zu ihren statischen Kennwörtern einmalige Codes angeben müssen, die an ihre Mobiltelefone gesendet werden, ist dies nicht der Fall. Yahoo hatte diese Option bereits.

Stattdessen basiert der neue Anmeldemechanismus, der auf den von Yahoo als On-Demand-Kennwörter bezeichneten Kennwörtern basiert, immer noch auf einem einzigen Faktor, der Telefonnummer des Benutzers.

Yahoo-Benutzer, die derzeit nur in den USA ansässig sind, können die neue Funktion über ihre Kontosicherheitseinstellungen auf der Yahoo-Website aktivieren. Sie müssen eine Telefonnummer angeben und dann bestätigen, dass sie Zugriff darauf haben, indem sie einen Bestätigungscode eingeben, der ihnen per SMS gesendet wird.

Sobald das System eingerichtet ist, sehen Yahoo-Benutzer beim nächsten Anmelden eine Schaltfläche mit der Aufschrift "Mein Passwort senden" anstelle eines herkömmlichen Passworteingabefelds. Wenn Sie auf diese Schaltfläche klicken, erhalten Sie ein temporäres vierstelliges Passwort per SMS.

Das neue System bietet eine bessere Sicherheit als statische Kennwörter, die auf verschiedene Weise gestohlen werden können. Es ist jedoch nicht so effektiv wie die Zwei-Faktor-Authentifizierung, da es ausschließlich davon abhängt, wie sicher das Telefon des Benutzers ist.

"Die Zwei-Faktor-Authentifizierung ist sicherer, da ein Angreifer mehr als eine einzelne Information kompromittieren muss, um erfolgreich zu sein", sagte Tim Erlin, Direktor für Produktmanagement bei der Sicherheitsfirma Tripwire, per E-Mail. „Während Yahoo die Last des Speicherns eines Passworts lindert, behalten sie ein einziges Ziel für Kompromisse bei: Ihre SMS-Nachrichten. Malware auf Ihrem Telefon kann verwendet werden, um diese SMS-Nachrichten abzurufen und dann vollen Zugriff auf Ihr Konto zu haben. “

Die Möglichkeit, Textnachrichten abzufangen, zu stehlen und zu verbergen, ist bei mobiler Malware üblich, insbesondere bei Bedrohungen, die sich an Online-Banking-Benutzer richten, die häufig Transaktions- und andere Autorisierungscodes per SMS erhalten.

Wenn ein Telefon verloren geht oder unbeaufsichtigt bleibt, kann es außerdem verwendet werden, um ein Kennwort für das Yahoo-E-Mail-Konto des Telefonbesitzers zu generieren. Wie viele Vorfälle gezeigt haben, kann das E-Mail-Konto einer Person ein Gateway für weitere Kompromisse sein, da es zum Zurücksetzen des Kennworts für die Benutzerkonten auf anderen Websites verwendet werden kann.

Malware-Entwickler werden aufgrund der wichtigen Rolle, die sie für die Online-Sicherheit der Benutzer spielen, zunehmend auf mobile Plattformen abzielen, sagte TK Keanini, CTO bei der Sicherheitsfirma Lancope, per E-Mail. "Heutzutage ist es auch wichtig sicherzustellen, dass das mobile Konto sicher ist, da Angreifer nicht Funktionen wie Anrufweiterleitung und andere Funktionen ändern sollen, die sie in die Mitte dieses Kommunikationsstroms stellen können."

Forscher haben jahrelang gewarnt, dass statische Passwörter keinen ausreichenden Schutz mehr für Online-Konten bieten. Daher ist jeder Versuch, sie durch etwas anderes zu ersetzen, generell willkommen.

Es bleibt abzuwarten, wie anfällig das neue System von Yahoo ist, "aber es kann nur gut sein, dass eine bekannte Marke im Technologiebereich nach verschiedenen Möglichkeiten sucht, das Passwort zu überarbeiten", sagte Chris Boyd, Malware Intelligence Analyst bei Malwarebytes per E-Mail.

Bei einer Auswahl würde Boyd jedoch jederzeit die Zwei-Faktor-Authentifizierung gegenüber der Einzelfaktor-Authentifizierung wählen.

Wenn Sie in Ihrem Yahoo-Konto bereits die Bestätigung in zwei Schritten aktiviert haben, sollten Sie sich daran halten und nicht auf das neue On-Demand-Kennwortsystem umsteigen. Die beiden scheinen nicht kompatibel zu sein, und das Umschalten auf On-Demand-Passwörter könnte laut Erlin die Sicherheit Ihres Kontos beeinträchtigen.

Trotz der möglichen Nachteile "ist es gut zu sehen, dass Yahoo versucht, das Passwortproblem zu lösen", sagte Jared DeMott, Hauptsicherheitsforscher bei Bromium, per E-Mail. Die meisten Benutzer tun jedoch standardmäßig nur das, was von ihnen verlangt wird. "Wenn Unternehmen also eine bessere Anmeldesicherheit ernst nehmen, muss die Standardauswahl geändert werden."

Für das neue On-Demand-Passwortsystem von Yahoo müssen sich Benutzer vorerst anmelden.

Treten Sie den Network World-Communitys auf Facebook und LinkedIn bei, um Kommentare zu Themen abzugeben, die im Vordergrund stehen.