雅虎部署无密码的账号密钥工具

为了消灭密码，雅虎（Yahoo）公司上周五（3月18日）的时候至少在该公司的移动应用上，部署了稳定版本的账号...





为了消灭密码，雅虎（Yahoo）公司上周五（3月18日）的时候至少在该公司的移动应用上，部署了稳定版本的账号密钥（AccountKey）工具。

该功能，本质上是两步认证法——无第一步——允许雅虎用户登录iOS和Android设备上的金融、游戏、邮箱、即时通讯或运动的APP。当用户试图登录一个APP时，他们会在设备上收到推送的通知，然后他们简单点击一下就能登录了。

如果用户保持在手机上登录APP，他们会仍处于登录状态，但并不具有真正的权限，直至他们自行认证并通过推送的通知验证他们正在使用设备。

这是该公司为远离密码采取的最新举措。

“密码是件麻烦事——它们无法容易地追踪并容易忘记，或者它们是容易被黑的弱密码，”雅虎的产品经理LovleshChhabra在公司的安全博客中写道。

大约在去年的这个时候，公司就开始浮现出活动式（on-the-go）密码的想法。与Account Key类似，用户可以逐步淘汰密码的使用并依赖手机进行认证。在选用该项目后，用户可以选择发送应需求密码，利用该密码用户可登录雅虎的服务。

雅虎公司在去年10月份宣布Account Key，其吸收了他们自主的活动式密码的概念，雅虎公司宣称AccountKey机制是其“消灭密码”任务的最新部分举措，并能在“无密码的将来”帮助用户。

隐私拥护者已经为密码的消失争论过很久，但雅虎的这个梦想能走多远目前尚不清楚。

Mozilla在2011年曾试图将网友们团结在认证系统Persona周围，以尝试摆脱密码之网。该分散化的系统依赖电子邮件对用户进行验证；开发人员称，这能使用户在访问新网站时不用再输入密码。

尽管Mozilla在2012年和2013年发布了Persona的测试版本，但它在1月份宣布，由于采纳率低以及资源有限，公司计划在11月30日让Persona工具退役。

距离雅虎泄露45万个用户电子邮箱地址和密码的事件已快有4年的时间，雅虎在过去几年内对隐私保持了积极的立场。在去年年末，公司的首席信息安全官BobLord宣布，它会跟随Twitter的脚步并向用户通知国家支持的攻击。

现在看起来，雅虎与独立资金项目HackOne的合作关系证明也是有益的。自2013年该项目启动后，雅虎处理了2875份报告，并给漏洞研究人员奖励了100万美元，包括因今年1月份雅虎邮箱中的严重漏洞向一位荷兰研究人员JoukoPynnonen提供的大额奖励1万美元。

    关注 手机安全