Trang Chủ Đồng hồ an ninh Yahoo không xứng đáng được khen ngợi vì tăng cường bảo mật

Yahoo không xứng đáng được khen ngợi vì tăng cường bảo mật

Video: how to recover yahoo password without phone number | recover yahoo account | reset yahoo password (Tháng mười một 2024)

Video: how to recover yahoo password without phone number | recover yahoo account | reset yahoo password (Tháng mười một 2024)
Anonim

Có, Yahoo cuối cùng đã bật mã hóa HTTPS cho người dùng Mail của mình, nhưng có vẻ như công ty không nỗ lực để thực hiện nó theo cách an toàn có ý nghĩa.

Tất cả các thông tin liên lạc của Yahoo Mail cho dù trên Web, Web di động, ứng dụng di động hay thậm chí qua IMAP, POP và SMTP, giờ đây được mã hóa theo mặc định bằng chứng chỉ 2.048 bit, Jeff Bonforte, phó chủ tịch cấp cao của Yahoo về các sản phẩm truyền thông, đã viết trên Tumblr của Yahoo Mail tuần này. Động thái này sẽ bảo vệ tất cả nội dung của email, tệp đính kèm, danh bạ, thông tin Lịch và thậm chí cả dữ liệu Messenger khi chúng di chuyển giữa trình duyệt của người dùng và máy chủ của Yahoo. Các chuyên gia bảo mật cảnh báo rằng nó không đủ.

"Thông báo của Yahoo rằng nó đã kích hoạt mã hóa HTTPS cho tất cả người dùng Yahoo Mail không chỉ là quá muộn, mà còn khá rắc rối", Tod Beardsley, Giám đốc kỹ thuật Metasploit tại Rapid7 nói.

Tín dụng có tín dụng đến hạn

Yahoo bắt đầu cung cấp cho người dùng có ý thức bảo mật tùy chọn tự bật HTTPS vào cuối năm 2012. Thay đổi mới nhất có nghĩa là mã hóa hiện được bật theo mặc định, bảo vệ tất cả mọi người, không chỉ những người chọn tham gia bảo mật hơn. Xem xét rằng hầu hết người dùng không bao giờ lúng túng trong cài đặt, điều tốt là Yahoo cuối cùng đã bật HTTPS theo mặc định. Gmail đã có HTTPS theo mặc định từ năm 2010, Microsoft đã ra mắt Outlook.com vào tháng 7 năm 2012 với tính năng này theo mặc định và Facebook bắt đầu tung ra HTTPS theo mặc định cho người dùng vào tháng 11 năm 2012.


Đến muộn trong bữa tiệc sẽ không tệ lắm nếu Yahoo thực sự nghĩ về một số quyết định bảo mật của mình. Mặc dù việc triển khai mã hóa theo mặc định là một "bước tiến lớn của Yahoo", "cấu hình mới để lại rất nhiều mong muốn", Ivan Ristic, giám đốc nghiên cứu bảo mật ứng dụng tại công ty bảo mật Qualys, nói với Security Watch . Vấn đề lớn nhất liên quan đến việc Yahoo quyết định không hỗ trợ Bảo mật Chuyển tiếp Hoàn hảo (PFS).

"Không có bí mật chuyển tiếp, ngay cả dữ liệu được mã hóa cũng có khả năng gặp rủi ro từ sự thỏa hiệp khóa riêng", Ristic cảnh báo.

Một mồi PFS nhanh

Với mã hóa HTTPS cơ bản, tin tặc (hoặc đại lý chính phủ), những người nắm bắt luồng dữ liệu không thể đọc nội dung vì họ không có khóa riêng của Yahoo. Tuy nhiên, nếu họ có được khóa vào một ngày nào đó, họ có thể quay lại và giải mã dữ liệu đã bắt trước đó. Nếu trang web triển khai Bảo mật Foward hoàn hảo, thì ngay cả khi ai đó có quyền truy cập vào khóa vào một ngày sau đó, người đó không thể quay lại và mở khóa tất cả các phiên cũ hơn.

Có một số cách mà khóa riêng có thể bị lộ: một cuộc tấn công vào máy chủ của Yahoo để đánh cắp khóa hoặc phát hiện ra điểm yếu trong chính mật mã. Yahoo thậm chí có thể trao chìa khóa, một cách tự nguyện hoặc vì lệnh của tòa án.

"Tôi không thể nghĩ ra một lý do chính đáng để thích chiến lược mã hóa yếu hơn này", Beardsley nói.

Không đủ tốt

Có những vấn đề khác với việc triển khai của Yahoo, theo Ristic. Một số máy chủ email HTTPS của Yahoo sử dụng RC4 làm mật mã ưu tiên, nhưng RC4 được coi là yếu. Microsoft và Cisco gần đây đã loại bỏ việc sử dụng RC4. Nó cũng dễ bị tấn công từ chối dịch vụ phân tán vì nó hỗ trợ đàm phán lại do khách hàng khởi xướng, theo báo cáo từ SSL Labs.

SSL Labs xếp hạng các trang web về bảo mật quá mức khi triển khai SSL. Yahoo chỉ có xếp hạng "B".

Các máy chủ khác, chẳng hạn như login.yahoo.com, sử dụng AES. AES tốt hơn RC4, nhưng Yahoo đã không thực hiện các biện pháp giảm thiểu bảo mật cho các cuộc tấn công đã biết như BEAST, nhắm vào các giao thức TLS 1.0 và trước đó và CRIME, một cuộc tấn công thực tế chống lại cách sử dụng TLS trong trình duyệt. Trang web này cũng hỗ trợ "chỉ các phiên bản giao thức cũ hơn, nhưng không phải là TLS 1.2 mới nhất và an toàn hơn", theo báo cáo từ SSL Labs.

Có lẽ Yahoo vẫn đang xử lý các nút thắt và bảo mật tốt hơn sẽ được thực hiện trong vài tuần hoặc vài tháng tới. Nhưng nó sẽ được tốt đẹp để giải thích kế hoạch trả trước của nó. Yahoo thì sao? Bạn sẽ nghĩ về bảo mật người dùng, thay vì những gì dễ dàng hơn cho nhóm của bạn để làm?

Yahoo không xứng đáng được khen ngợi vì tăng cường bảo mật