Yahoo uvaja šifriranje e-pošte in ukinja gesla

Yahoo je na konferenci SXSW v Austinu v Teksasu napovedal, da bodo do konca leta uvedli šifriranje elektronske pošte od pošiljatelja do prejemnika (end-to-end), s čimer očitno želijo NSA in podobnim službam vsaj otežiti delo, kar so najavljali že lani. Do izteka leta bodo storitev razširili na vse uporabnike, že sedaj pa jo lahko preizkusimo z namestitvijo vtičnika za brskalnik. Yahoo je seveda kodo prosto odprl; dostopna je na Githubu, obsežno pa so sodelovali tudi z Googlom.

Vtičnik omogoča šifriranje, dešifriranje, podpisovanje in preverjanje pristnosti sporočil prek tehnologije OpenPGP, ki je že uveljavljen standard. Obenem sodi OpenPGP med tehnologije, ki tudi véliki NSA povzročajo obilico težav pri prisluškovanju. Yahoo vzpodbuja tudi raziskovalce, da prijavijo odkrite hrošče v vtičniku, s čimer sodelujejo v nagradnem programu Bug Bounty.

Druga novost, ki jo je napovedal Yahoo, pa ima še neznan datum prihoda. Povedali so, da pripravljajo funkcijo ukinitve gesel. Kdor bi želel, bi lahko v svoj račun vstopal izključno prek enkratne kode, ki bi jo Yahoo poslal na telefonsko število uporabnika pri vsakem dostopu. Na ta način bi se lahko izognili napadom ribarjenja na računalniku, saj kakršnikoli ukradeni podatki ne bi zadostovali za prijavo. Po drugi strani pa to pomeni, da je treba skrbno varovati telefon - tako fizično kakor tudi pred programsko nesnago.

Dvostopenjsko preverjanje (two-step authentication) v resnici že obstaja (ponuja ga celo Yahoo) in nudi oboje, saj je obvezno vpisati geslo ter vnesti po telefonu prejeto enkratno kodo. S tega stališča je Yahoojeva ideja o odpravi gesel malce čudna, saj dodatne varnosti ne prinaša, prej jo slabi. Najbolj varni sistem je še vedno avtentikacija, ki preverja, kaj imate, kaj ste in kaj veste.