perjantai 16. lokakuuta 2015

Yahoo luopuu salasanoista, päivitti sähköpostinsa

Yahoo luopuu salasanoista, päivitti sähköpostinsaInternet palveluita tuottava ja ylläpitävä Yahoo on esittelyt uudistetun kirjautumispalvelun jossa käyttäjältä ei enää pyydetä salasanaa. Kirjautuminen tehdään puhelinsovelluksen avulla.

Yahoon sovellusten kirjautumiseen  annetaan vain käyttäjätunnus eli Yahoo mailin sähköpostiosoite, tämän jälkeen käyttäjä saa älypuhelimeen pyynnön hyväksyä kirjautuminen, kun lupa on annettu jatkaa puhelin tai verkkoselain latautumistaan pyydettyihin Yahoon palveluihin.

Palvelun nimi on Yahoo Key ja se on saatavilla Applen iOS laitteisiin kuten myös Googlen Android käyttöjärjestelmää käyttäviin laitteisiin. Yahoo Keytä ei kuitenkaan toimiteta yksittäisenä sovelluksena vaan sen saa käyttöönsä vain Yahoo Mail sovelluksen yhteydessä joka on siis Yahoon sähköpostin mobiiliversio.

Yahoo kuitenkin mainitsee että Yahoo Key tulisi myöhemmin myös muihin sovelluksiin mukaan, kuten vaikkapa Flickriin tai Yahoo Säähän.

Miksei yksittäistä kirjautumissovellusta?

Yahoon integrointipakkoa eivät kaikki arvosta, esimerkiksi Flickr käyttäjä ei välttämättä ole kiinnostunut laisinkaan Yahoo Mailista, helpompaa ja järkevämpää olisi luoda kirjautumissovellus mikä ei ole riippuvainen mistään muusta.

Tietoturvallisesti järkevä? Ei todellakaan:

Entäs jos puhelin varastetaan, pääseekö varas kirjautumaan Yahoo tunnukselle ilman salasanaa?

Periaatteessa kyllä pääsee mikäli puhelimessa itsessään ei ole suojaavaa tunnuskoodia, ongelman tästä tekee juurikin se että palvelussa ei tarvita enää salasanaa ja se jopa korvaa Yahoon aikaisemmin esittelemän kaksivaiheisen kirjautumisen jossa palveluun syötetään tunnus sekä salasana ja jonka jälkeen taas puhelimeen lähetetään tekstiviestitse erillinen kirjautumiskoodi joka tarvitsee syöttää ohjelmaan ennen kirjautumisen onnistumista.

Yahoo Key siis korvaa salasanan jokaiseen Yahoon palveluun, ei vain sähköpostiin, tässä ovat silloin vaarassa esimerkiksi Flickr kuvat ja monet muut Yahoon palvelut jotka hyödyntävät sen omaa tiliä.

Esimerkki:

Varkaan ei tarvitse kuin syöttää oikea yahoo sähköpostiosoite (jonka hän saa varastamansa puhelimen Yahoo Mail sovelluksesta) vaikkapa Flickrin kirjautumissivulle ja painaa Sign In (salasana kentän voi jättää tyhjäksi), tämän jälkeen odottaa varastettuun puhelimeen pompahtavan hyväksyntä -painikkeen ja näin kuvat ovat varkaan käsissä, mutta viisaampi varas menee heti Yahoon tilitietoihin ja muuttaa kirjautumiskäytännön ja salasanan ja koko käyttäjätunnus on tämän jälkeen varkaan kaappaama.

Kirjautumista siis kyllä yksinkertaistettiin ja helpotettiin mutta todella räikeästi tietoturvan kustannuksella.

Ei kannata ottaa käyttöön vielä:

Tällä hetkellä Yahoo Key toimii vain uusimman Yahoo Mailin kanssa jota ei ainakaan kirjoitushetkellä löytynyt vielä Google Play sovelluskaupasta, uusin versio on 5.0.1 joka on ladattavissa APK (Androidin asennustiedosto) täältä.

Allekirjoittanut myös testasi palvelua ja ilmeisesti sen lokalisointi Yahoo Suomeen ei ole aivan täydellinen, palvelusta ei aluksi mainita mitään mutta kun toiminnon ottaa käyttöön Yahoo Mailin 5.0.1 versiosta, ilmestyy tämän jälkeen tilisivulle maininta että tilillä on Key käytössä.

Sitä ei kuitenkaan voi sulkea suoraan Yahoo Suomen tarjoamasta tilisivusta vaikka ruksin voikin klikata pois, tilisivu  toimi myös hyvin epästabiilisti, oli hidas latautumaan ja välillä se palautui Yahoon virhesivulle.

Ei siis ole vielä ainakaan kannattavaa siirtyä Keyn käyttäjäksi, eikä edes testata toimintoa jos oma Yahoo tunnus on tärkeä ja käytössä on nyt kaksivaiheinen kirjautuminen Yahoo tilille.

Yahoo Mail: Miksi kannattaa päivittää:

Yahoo Mail 5.0.1 sovellus kannattaa kuitenkin käydä lataamassa jo APKMirrorista, ellei se ole tullut Google Playhin jo saataville. Nyt nimittäin sovellukseen voi liittää myös muita, Yahoon ulkopuolisia sähköpostitilejä ja hallita niiden posteja suoraan Yahoo Mailista, uudistuksesta ilahtuu varmasti moni Yahoo Mailin käyttöliittymästä pitävä.