偷偷摘套内射激情视频,久久精品99国产国产精,中文字幕无线乱码人妻,中文在线中文a,性爽19p

別讓雙因素驗(yàn)證成為華而不實(shí)的裝飾

安全 數(shù)據(jù)安全
雙因素驗(yàn)證雖然不是所向披靡,但是它可以為賬戶安全增加一層安全保障。雙因素驗(yàn)證的重要標(biāo)準(zhǔn)是第二個(gè)安全因素是強(qiáng)制性的。但是,如果有人可以繞過(guò)這一層安全,那該怎么辦?這就好比你在前門額外加一把鎖,但是側(cè)門卻敞開著。

雙因素驗(yàn)證雖然不是所向披靡,但是它可以為賬戶安全增加一層安全保障。

雙因素驗(yàn)證的重要標(biāo)準(zhǔn)是第二個(gè)安全因素是強(qiáng)制性的。但是,如果有人可以繞過(guò)這一層安全,那該怎么辦?這就好比你在前門額外加一把鎖,但是側(cè)門卻敞開著。

但這就是雅虎在自己系統(tǒng)上干的事兒,雖然雅虎有足夠的時(shí)間對(duì)其進(jìn)行糾正。

雅虎的可選式雙因素系統(tǒng)除了要求用戶輸入常規(guī)密碼外,還要求用戶把手機(jī)接收到的一次性密碼輸入系統(tǒng)。但是在Yahoo Messenger和郵件服務(wù)中卻沒(méi)有要求用戶使用第二個(gè)驗(yàn)證因素。所以就可以繞過(guò)雅虎的雙因素驗(yàn)證。

盡管通過(guò)Web界面登錄到雅虎郵箱不會(huì)提示用戶使用第二個(gè)驗(yàn)證因素,但是如果用戶通過(guò)其他方式試圖登錄到某個(gè)相同郵箱的賬戶,就不會(huì)受到阻礙。例如,即便開啟雙因素驗(yàn)證,在不通過(guò)第二個(gè)驗(yàn)證因素的情況下,用戶仍然可以登錄到Y(jié)ahoo IMAP郵件服務(wù)器。

別讓雙因素驗(yàn)證成為華而不實(shí)的裝飾

輸入“高度安全”的密碼后,通過(guò)IMAP登錄賬戶,期間不需要通過(guò)第二個(gè)驗(yàn)證因素。

至頂在5月20日曾向雅虎安全團(tuán)隊(duì)報(bào)道過(guò)郵箱存在的這個(gè)問(wèn)題,并在同一天對(duì)其澳大利亞的公司信息溝通代表發(fā)出了警告。我們從雅虎安全團(tuán)隊(duì)收到了一條自動(dòng)回復(fù),而本地的溝通團(tuán)隊(duì)稱會(huì)將這個(gè)問(wèn)題提交給美國(guó)總部。雅虎美國(guó)的溝通團(tuán)隊(duì)在5月27日介入處理此事。

我們沒(méi)有從安全團(tuán)隊(duì)收到任何反饋,但是再告知雅虎之后,我們相信6月20日足以解決完這件事情,雅虎美國(guó)的新聞發(fā)言人在6月22日告訴我們,雅虎公司了解過(guò)這件事情,不過(guò)并沒(méi)有將其視為一個(gè)漏洞。

“我們現(xiàn)在為使用雅虎郵件Web入口的用戶提供雙因素驗(yàn)證,但是我們沒(méi)有在IMAP上做這種要求。因?yàn)槿绻覀冊(cè)贗MAP執(zhí)行雙因素驗(yàn)證,估計(jì)會(huì)影響用戶體驗(yàn),而且雙因素驗(yàn)證與我們的用戶瀏覽器和郵件客戶端并不兼容。”

雅虎對(duì)待這件事情的態(tài)度令我有些驚訝,雅虎沒(méi)有意識(shí)到為什么雙因素驗(yàn)證需要覆蓋到所有登陸點(diǎn)。我想不止我一個(gè)人有這樣的想法——雅虎計(jì)劃部署的雙因素驗(yàn)證只是為了趕潮流,讓用戶覺(jué)得安全而已嗎?

對(duì)舊系統(tǒng)和IMAP這類協(xié)議的支持其實(shí)是一個(gè)比較難的問(wèn)題。谷歌已經(jīng)證明了這一點(diǎn),而谷歌也沒(méi)有為IMAP提供真正的可立即使用的雙因素驗(yàn)證。但是,谷歌仍然會(huì)在用戶登錄IMAP時(shí),要求用戶提供特定應(yīng)用的密碼。

之所以給雅虎“找茬”,也是希望它的賬戶安全能有所改善。如果一家公司打算為產(chǎn)品添加安全特性,就應(yīng)該確保這種安全特性行之有效。雖然這不會(huì)讓上千用戶的郵件賬戶處于威脅之中,但卻是在誤導(dǎo)客戶,讓用戶相信自己的雙因素驗(yàn)證可以有效阻止不法者的攻擊。

責(zé)任編輯:藍(lán)雨淚 來(lái)源: ZDNet
相關(guān)推薦

2013-06-18 09:54:37

微軟Windows Azu

2021-07-27 05:49:04

雙因素驗(yàn)證MFA網(wǎng)絡(luò)安全

2012-06-11 14:33:18

索尼LG

2013-03-15 14:47:13

YubiKeyUSB密鑰雙因素驗(yàn)證

2010-04-20 10:00:29

2011-06-28 11:10:19

2022-05-07 13:19:24

GitHub2FA

2016-03-06 22:59:27

移動(dòng)辦公/華三

2013-02-26 10:05:04

IT人員程序員臺(tái)灣IT

2013-05-02 16:31:12

雙因素身份驗(yàn)證微軟

2011-05-04 16:40:00

2011-05-04 17:06:46

2013-09-29 13:52:31

2015-10-10 13:22:26

2011-08-25 21:38:32

2022-07-08 07:02:10

Python動(dòng)態(tài)碼OTP

2014-03-07 10:20:06

存儲(chǔ)虛擬化

2014-03-07 10:18:31

存儲(chǔ)在線

2016-08-12 09:56:07

2022-08-01 00:08:03

雙因素認(rèn)證2FA
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)