Vídeo: Yahoo Mail Password Recovery without Phone Number|Using Alternate Email Id (Setembre 2024)
Sí, finalment Yahoo ha encès el xifrat HTTPS per als usuaris de correu, però no sembla si l'empresa es esforçés per fer-ho de manera eficaç i segura.
Totes les comunicacions de Yahoo Mail (ja sigui a la web, web mòbil, aplicacions mòbils, o fins i tot via IMAP, POP i SMTP) ara es xifren de manera predeterminada mitjançant certificats de 2.048 bits, va escriure Jeff Bonforte, el vicepresident principal de productes de comunicació de Yahoo. Tumblr de Yahoo Mail aquesta setmana. Aquesta mesura protegirà tot el contingut dels correus electrònics, fitxers adjunts, contactes, informació del calendari i fins i tot les dades de Messenger, a mesura que es mouen entre el navegador de l’usuari i els servidors de Yahoo. Els experts de seguretat van advertir que no n’hi havia prou.
"L'anunci de Yahoo que ha habilitat el xifrat HTTPS per a tots els usuaris de Yahoo Mail no només és massa tard, sinó que també és molt preocupant", va dir Tod Beardsley, gerent de l'enginyeria de Metasploit a Rapid7.
Crèdit On es deu el crèdit
Yahoo va començar a oferir als usuaris conscients de la seguretat l’opció d’activar-se HTTPS per si mateixos a finals del 2012. El darrer canvi significa que el xifratge ara està activat de manera predeterminada, protegint a tots, no només als que van optar per obtenir més seguretat. Tenint en compte que la majoria d’usuaris no s’interpreten mai de la configuració, és bo que Yahoo hagi activat HTTPS per defecte. Gmail té HTTPS per defecte des del 2010, Microsoft va llançar Outlook.com el juliol del 2012 amb aquesta funció per defecte i Facebook va començar a publicar HTTPS per defecte als usuaris el novembre del 2012.
Arribar tard a la festa no seria tan dolent si Yahoo hagués pensat en algunes de les seves decisions sobre seguretat. Tot i que desplegar el xifrat per defecte és un "gran pas endavant per a Yahoo", la "nova configuració deixa molt a desitjar", va dir a Security Watch Ivan Ristic, director de la investigació en seguretat d'aplicacions de la firma de seguretat Qualys. El problema més important té a veure amb que Yahoo va decidir no donar suport a Perfect Forward Secrecy (PFS).
"Sense secret avançat, fins i tot les dades xifrades corren un risc factible de compromís en clau privada", va advertir Ristic.
Una iniciació ràpida PFS
Amb un xifrat bàsic HTTPS, els hackers (o agents governamentals) que capturen el flux de dades no poden llegir el contingut perquè no tenen la clau privada de Yahoo. Tanmateix, si adquirien la clau en alguna data posterior, podrien tornar enrere i desxifrar les dades capturades anteriorment. Si el lloc va implementar Perfect Foward Secrecy, encara que algú hagi accedit a la clau en una data posterior, aquesta persona no pot tornar i desbloquejar totes les sessions anteriors.
Hi ha diverses maneres en què es pot exposar la clau privada: un atac als servidors de Yahoo per robar la clau o per descobrir una debilitat en el propi xifrat. Yahoo pot fins i tot lliurar la clau, voluntàriament o per ordre judicial.
"No puc pensar en una raó legítima per preferir aquesta estratègia de xifrat més feble", va dir Beardsley.
No prou bo
Segons Ristic, hi ha altres problemes amb la implementació de Yahoo. Alguns dels servidors de correu electrònic HTTPS de Yahoo utilitzen RC4 com a xifrat preferit, però es considera que el RC4 és feble. Microsoft i Cisco han eliminat recentment l'ús de RC4. També és vulnerable als atacs de denegació de serveis distribuïts perquè dóna suport a la renegociació iniciada pel client, segons un informe de SSL Labs.
SSL Labs qualifica els llocs web sobre la seguretat general de la seva implementació SSL. Yahoo només té una qualificació "B".
Altres servidors, com login.yahoo.com, utilitzen AES. AES és millor que RC4, però Yahoo no va implementar mitigacions de seguretat per a atacs coneguts com BEAST, que té com a objectius TLS 1.0 i protocols anteriors, i CRIME, un atac pràctic contra l’ús de TLS als navegadors. El lloc també admet "només versions de protocols més antigues, però no la més recent i segura TLS 1.2", segons un informe de SSL Labs.
Potser Yahoo segueix treballant amb els pols i es millorarà la seguretat durant les properes setmanes o mesos. Però hauria estat bo explicar els seus plans per endavant. Què passa amb això Yahoo? Pensareu en la seguretat dels usuaris en lloc de què és més fàcil fer el vostre equip?
