別讓雙因素驗(yàn)證成為華而不實(shí)的裝飾
雙因素驗(yàn)證雖然不是所向披靡,但是它可以為賬戶安全增加一層安全保障。
雙因素驗(yàn)證的重要標(biāo)準(zhǔn)是第二個(gè)安全因素是強(qiáng)制性的。但是,如果有人可以繞過(guò)這一層安全,那該怎么辦?這就好比你在前門額外加一把鎖,但是側(cè)門卻敞開著。
但這就是雅虎在自己系統(tǒng)上干的事兒,雖然雅虎有足夠的時(shí)間對(duì)其進(jìn)行糾正。
雅虎的可選式雙因素系統(tǒng)除了要求用戶輸入常規(guī)密碼外,還要求用戶把手機(jī)接收到的一次性密碼輸入系統(tǒng)。但是在Yahoo Messenger和郵件服務(wù)中卻沒(méi)有要求用戶使用第二個(gè)驗(yàn)證因素。所以就可以繞過(guò)雅虎的雙因素驗(yàn)證。
盡管通過(guò)Web界面登錄到雅虎郵箱不會(huì)提示用戶使用第二個(gè)驗(yàn)證因素,但是如果用戶通過(guò)其他方式試圖登錄到某個(gè)相同郵箱的賬戶,就不會(huì)受到阻礙。例如,即便開啟雙因素驗(yàn)證,在不通過(guò)第二個(gè)驗(yàn)證因素的情況下,用戶仍然可以登錄到Y(jié)ahoo IMAP郵件服務(wù)器。
輸入“高度安全”的密碼后,通過(guò)IMAP登錄賬戶,期間不需要通過(guò)第二個(gè)驗(yàn)證因素。
至頂在5月20日曾向雅虎安全團(tuán)隊(duì)報(bào)道過(guò)郵箱存在的這個(gè)問(wèn)題,并在同一天對(duì)其澳大利亞的公司信息溝通代表發(fā)出了警告。我們從雅虎安全團(tuán)隊(duì)收到了一條自動(dòng)回復(fù),而本地的溝通團(tuán)隊(duì)稱會(huì)將這個(gè)問(wèn)題提交給美國(guó)總部。雅虎美國(guó)的溝通團(tuán)隊(duì)在5月27日介入處理此事。
我們沒(méi)有從安全團(tuán)隊(duì)收到任何反饋,但是再告知雅虎之后,我們相信6月20日足以解決完這件事情,雅虎美國(guó)的新聞發(fā)言人在6月22日告訴我們,雅虎公司了解過(guò)這件事情,不過(guò)并沒(méi)有將其視為一個(gè)漏洞。
“我們現(xiàn)在為使用雅虎郵件Web入口的用戶提供雙因素驗(yàn)證,但是我們沒(méi)有在IMAP上做這種要求。因?yàn)槿绻覀冊(cè)贗MAP執(zhí)行雙因素驗(yàn)證,估計(jì)會(huì)影響用戶體驗(yàn),而且雙因素驗(yàn)證與我們的用戶瀏覽器和郵件客戶端并不兼容。”
雅虎對(duì)待這件事情的態(tài)度令我有些驚訝,雅虎沒(méi)有意識(shí)到為什么雙因素驗(yàn)證需要覆蓋到所有登陸點(diǎn)。我想不止我一個(gè)人有這樣的想法——雅虎計(jì)劃部署的雙因素驗(yàn)證只是為了趕潮流,讓用戶覺(jué)得安全而已嗎?
對(duì)舊系統(tǒng)和IMAP這類協(xié)議的支持其實(shí)是一個(gè)比較難的問(wèn)題。谷歌已經(jīng)證明了這一點(diǎn),而谷歌也沒(méi)有為IMAP提供真正的可立即使用的雙因素驗(yàn)證。但是,谷歌仍然會(huì)在用戶登錄IMAP時(shí),要求用戶提供特定應(yīng)用的密碼。
之所以給雅虎“找茬”,也是希望它的賬戶安全能有所改善。如果一家公司打算為產(chǎn)品添加安全特性,就應(yīng)該確保這種安全特性行之有效。雖然這不會(huì)讓上千用戶的郵件賬戶處于威脅之中,但卻是在誤導(dǎo)客戶,讓用戶相信自己的雙因素驗(yàn)證可以有效阻止不法者的攻擊。