Le nouveau système de mot de passe à la demande de Yahoo ne remplace pas l'authentification à deux facteurs

Dans un effort pour simplifier l'authentification de ses services, Yahoo a introduit un nouveau mécanisme qui permet aux utilisateurs de se connecter avec des mots de passe temporaires qui sont envoyés à leurs téléphones mobiles.

Si cela ressemble à un système d'authentification à deux facteurs où les utilisateurs doivent fournir des codes à usage unique envoyés à leurs téléphones mobiles en plus de leurs mots de passe statiques, ce n'est pas le cas. Yahoo avait déjà cette option.

Au lieu de cela, le nouveau mécanisme de connexion, qui est basé sur ce que Yahoo appelle les mots de passe à la demande, repose toujours sur un seul facteur, le numéro de téléphone de l'utilisateur.

Les utilisateurs de Yahoo, uniquement ceux basés aux États-Unis pour l'instant, peuvent activer la nouvelle fonctionnalité à partir des paramètres de sécurité de leur compte sur le site de Yahoo. Ils devront fournir un numéro de téléphone, puis confirmer qu'ils y ont accès en saisissant un code de vérification qui leur est envoyé par SMS.

Une fois le système configuré, la prochaine fois qu'ils souhaitent se connecter, les utilisateurs de Yahoo verront un bouton qui dit «envoyer mon mot de passe» au lieu d'un champ de saisie de mot de passe traditionnel. Cliquer sur ce bouton leur enverra un mot de passe temporaire à quatre caractères par SMS.

Le nouveau système offre une meilleure sécurité que les mots de passe statiques, qui peuvent être volés de diverses manières, mais il n'est pas aussi efficace que l'authentification à deux facteurs car il dépend uniquement de la sécurité du téléphone de l'utilisateur..

"L'authentification à deux facteurs est plus sécurisée car elle nécessite qu'un attaquant compromet plus d'une seule information pour réussir", a déclaré Tim Erlin, directeur de la gestion des produits de la société de sécurité Tripwire, par e-mail. «Alors que Yahoo soulève le fardeau de la mémorisation d'un mot de passe, ils maintiennent une seule cible de compromis: vos messages SMS. Des logiciels malveillants sur votre téléphone pourraient être utilisés pour récupérer ces messages SMS, puis avoir un accès complet à votre compte. »

La possibilité d'intercepter, de voler et de masquer des messages texte est courante pour les logiciels malveillants mobiles, en particulier pour les menaces qui ciblent les utilisateurs de services bancaires en ligne qui reçoivent souvent des codes de transaction et d'autres codes d'autorisation par SMS.

De plus, si un téléphone est perdu ou laissé sans surveillance, il pourrait être utilisé pour générer un mot de passe pour le compte de messagerie Yahoo du propriétaire du téléphone. Comme de nombreux incidents l'ont montré, le compte de messagerie d'une personne peut être une passerelle pour de nouveaux compromis, car il peut être utilisé pour réinitialiser le mot de passe des comptes de l'utilisateur sur d'autres sites Web..

Les créateurs de logiciels malveillants cibleront de plus en plus les plates-formes mobiles en raison du rôle important qu'ils jouent pour la sécurité en ligne des utilisateurs, a déclaré par e-mail TK Keanini, directeur technique de la société de sécurité Lancope. «Il est également important de nos jours de garantir la sécurité du compte mobile, car vous ne voulez pas que les attaquants modifient des fonctionnalités telles que le transfert d'appels et d'autres fonctionnalités qui peuvent les placer au milieu de ce flux de communication.»

Les chercheurs avertissent depuis des années que les mots de passe statiques n'offrent plus une protection suffisante aux comptes en ligne, donc tout effort pour les remplacer par quelque chose d'autre est généralement le bienvenu.

Il reste à voir à quel point le nouveau système de Yahoo est vulnérable, "mais cela ne peut être qu'une bonne chose qu'une marque bien connue dans le domaine de la technologie cherche différentes façons de réorganiser le mot de passe", a déclaré Chris Boyd, analyste d'intelligence de malware chez Malwarebytes, par e-mail.

Étant donné le choix, cependant, Boyd choisirait à tout moment l'authentification à deux facteurs plutôt que l'authentification à un seul facteur..

Donc, si vous avez déjà activé la «vérification en deux étapes» sur votre compte Yahoo, il est préférable de s'y tenir et de ne pas passer au nouveau système de «mot de passe à la demande». Les deux semblent incompatibles et le passage aux mots de passe à la demande pourrait en fait réduire la sécurité de votre compte, selon Erlin.

Même avec les inconvénients potentiels, "il est bon de voir Yahoo essayer de résoudre le problème des mots de passe", a déclaré Jared DeMott, chercheur principal en sécurité chez Bromium, par e-mail. Cependant, la plupart des utilisateurs ne feront que ce qui est exigé d'eux par défaut, "donc si les entreprises veulent vraiment une meilleure sécurité de connexion, le choix par défaut devra être modifié."

Pour l'instant, le nouveau système de mot de passe à la demande de Yahoo oblige les utilisateurs à s'inscrire.

Rejoignez les communautés Network World sur Facebook et LinkedIn pour commenter des sujets qui vous tiennent à cœur.