雙因素驗證雖然不是所向披靡，但是它可以為賬戶安全增加一層安全保障。

雙因素驗證的重要標準是第二個安全因素是強制性的。但是，如果有人可以繞過這一層安全，那該怎么辦?這就好比你在前門額外加一把鎖，但是側門卻敞開著。

但這就是雅虎在自己系統上干的事兒，雖然雅虎有足夠的時間對其進行糾正。

雅虎的可選式雙因素系統除了要求用戶輸入常規密碼外，還要求用戶把手機接收到的一次性密碼輸入系統。但是在Yahoo Messenger和郵件服務中卻沒有要求用戶使用第二個驗證因素。所以就可以繞過雅虎的雙因素驗證。

盡管通過Web界面登錄到雅虎郵箱不會提示用戶使用第二個驗證因素，但是如果用戶通過其他方式試圖登錄到某個相同郵箱的賬戶，就不會受到阻礙。例如，即便開啟雙因素驗證，在不通過第二個驗證因素的情況下，用戶仍然可以登錄到Yahoo IMAP郵件服務器。

輸入“高度安全”的密碼后，通過IMAP登錄賬戶，期間不需要通過第二個驗證因素。

至頂在5月20日曾向雅虎安全團隊報道過郵箱存在的這個問題，并在同一天對其澳大利亞的公司信息溝通代表發出了警告。我們從雅虎安全團隊收到了一條自動回復，而本地的溝通團隊稱會將這個問題提交給美國總部。雅虎美國的溝通團隊在5月27日介入處理此事。

我們沒有從安全團隊收到任何反饋，但是再告知雅虎之后，我們相信6月20日足以解決完這件事情，雅虎美國的新聞發言人在6月22日告訴我們，雅虎公司了解過這件事情，不過并沒有將其視為一個漏洞。

“我們現在為使用雅虎郵件Web入口的用戶提供雙因素驗證，但是我們沒有在IMAP上做這種要求。因為如果我們在IMAP執行雙因素驗證，估計會影響用戶體驗，而且雙因素驗證與我們的用戶瀏覽器和郵件客戶端并不兼容。”

雅虎對待這件事情的態度令我有些驚訝，雅虎沒有意識到為什么雙因素驗證需要覆蓋到所有登陸點。我想不止我一個人有這樣的想法——雅虎計劃部署的雙因素驗證只是為了趕潮流，讓用戶覺得安全而已嗎?

對舊系統和IMAP這類協議的支持其實是一個比較難的問題。谷歌已經證明了這一點，而谷歌也沒有為IMAP提供真正的可立即使用的雙因素驗證。但是，谷歌仍然會在用戶登錄IMAP時，要求用戶提供特定應用的密碼。

之所以給雅虎“找茬”，也是希望它的賬戶安全能有所改善。如果一家公司打算為產品添加安全特性，就應該確保這種安全特性行之有效。雖然這不會讓上千用戶的郵件賬戶處于威脅之中，但卻是在誤導客戶，讓用戶相信自己的雙因素驗證可以有效阻止不法者的攻擊。