En un esfuerzo por simplificar la autenticación de sus servicios, Yahoo ha introducido un nuevo mecanismo que permite a los usuarios iniciar sesión con contraseñas temporales que se envían a sus teléfonos móviles..
Si esto suena como un sistema de autenticación de dos factores donde los usuarios necesitan proporcionar códigos únicos enviados a sus teléfonos móviles además de sus contraseñas estáticas, no lo es. Yahoo ya tenía esa opción.
En cambio, el nuevo mecanismo de inicio de sesión, que se basa en lo que Yahoo llama contraseñas a pedido, todavía se basa en un solo factor, el número de teléfono del usuario.
Los usuarios de Yahoo, solo aquellos con sede en los EE. UU. Por ahora, pueden activar la nueva función desde la configuración de seguridad de su cuenta en el sitio de Yahoo. Tendrán que proporcionar un número de teléfono y luego confirmar que tienen acceso al mismo ingresando un código de verificación que se les envió por SMS.
Una vez que el sistema está configurado, la próxima vez que quieran iniciar sesión, los usuarios de Yahoo verán un botón que dice "enviar mi contraseña" en lugar de un campo de entrada de contraseña tradicional. Al hacer clic en ese botón, se les enviará una contraseña temporal de cuatro caracteres por SMS.
El nuevo sistema ofrece una mejor seguridad que las contraseñas estáticas, que se pueden robar de varias maneras, pero no es tan eficaz como la autenticación de dos factores porque depende únicamente de la seguridad del teléfono del usuario..
"La autenticación de dos factores es más segura porque requiere que un atacante comprometa más de una sola información para tener éxito", dijo Tim Erlin, director de gestión de productos de la firma de seguridad Tripwire, por correo electrónico. “Mientras Yahoo está levantando la carga de recordar una contraseña, mantienen un único objetivo de compromiso: sus mensajes SMS. El malware en su teléfono podría usarse para capturar esos mensajes SMS y luego tener acceso total a su cuenta ".
La capacidad de interceptar, robar y ocultar mensajes de texto es común para el malware móvil, particularmente para las amenazas que se dirigen a los usuarios de banca en línea que a menudo reciben transacciones y otros códigos de autorización por SMS..
Además, si un teléfono se pierde o se deja sin supervisión, podría usarse para generar una contraseña para la cuenta de correo electrónico de Yahoo del propietario del teléfono. Como han demostrado muchos incidentes, la cuenta de correo electrónico de una persona puede ser una puerta de entrada para compromisos adicionales, ya que se puede usar para restablecer la contraseña de las cuentas del usuario en otros sitios web.
Los creadores de malware apuntarán cada vez más a las plataformas móviles debido al importante papel que juegan para la seguridad en línea de los usuarios, dijo TK Keanini, CTO de la firma de seguridad Lancope, por correo electrónico. "También es importante en estos días garantizar que la cuenta móvil sea segura porque no desea que los atacantes cambien las funciones como el desvío de llamadas y otras funciones que pueden colocarlas en el medio de esta transmisión de comunicación".
Los investigadores han advertido durante años que las contraseñas estáticas ya no brindan protección suficiente para las cuentas en línea, por lo que cualquier esfuerzo por reemplazarlas con algo más es generalmente bienvenido.
Queda por ver cuán vulnerable es el nuevo sistema de Yahoo, "pero solo puede ser bueno que una marca conocida en el campo de la tecnología busque diferentes formas de renovar la contraseña", dijo Chris Boyd, analista de inteligencia de malware en Malwarebytes, por correo electrónico.
Sin embargo, si se le diera una opción, Boyd aún elegiría la autenticación de dos factores en lugar de la de un solo factor en cualquier momento.
Entonces, si ya tiene habilitada la "verificación en dos pasos" en su cuenta de Yahoo, es mejor quedarse con ella y no cambiar al nuevo sistema de "contraseña a pedido". Los dos parecen ser incompatibles y cambiar a contraseñas a pedido podría disminuir la seguridad de su cuenta, según Erlin.
Incluso con los posibles inconvenientes, "es bueno ver a Yahoo tratando de abordar el problema de la contraseña", dijo Jared DeMott, investigador principal de seguridad de Bromium, por correo electrónico. Sin embargo, la mayoría de los usuarios solo harán lo que se les exige de forma predeterminada, "por lo que si las empresas toman en serio una mejor seguridad de inicio de sesión, la opción predeterminada deberá modificarse".
Por ahora, el nuevo sistema de contraseñas bajo demanda de Yahoo requiere que los usuarios opten.
Únase a las comunidades de Network World en Facebook y LinkedIn para comentar temas que son lo más importante.
