25Aug
Applikationsspecifikke adgangskoder er farligere, end de lyder. Trods deres navn er de alt andet end applikationsspecifikke. Hver applikationsspecifik adgangskode er mere som en skelettast, der giver ubegrænset adgang til din konto.
"Applikationsspecifikke adgangskoder" er såkaldte at opmuntre til god sikkerhedspraksis - du skal ikke genbruge dem. Navnet kan dog også give en falsk følelse af sikkerhed for mange mennesker.
Hvorfor applikationsspecifikke adgangskoder er nødvendige
Tofaktorautentificering - eller to-trins verifikation, eller hvad en tjeneste kalder det - kræver to ting at logge ind på din konto. Du skal først indtaste dit kodeord, og derefter skal du indtaste en engangskode genereret af en smartphone-app, sendt via SMS eller sendt til dig.
Sådan virker det normalt, når du logger ind på en services hjemmeside eller en kompatibel applikation. Du indtaster dit kodeord, og du bliver bedt om engangskoden. Du indtaster koden, og din enhed modtager et OAuth-token, der overvejer at programmet eller browseren er autentificeret, eller noget lignende - det lagrer faktisk ikke adgangskoden.
Enkelte programmer er imidlertid ikke kompatible med denne to-trins ordning. Lad os f.eks. Sige, at du vil bruge en stationær e-mail-klient til at få adgang til Gmail, Outlook.com eller iCloud-email. Disse e-mail-klienter arbejder ved at bede dig om et kodeord, og så gemmer de adgangskoden og bruger det hver gang de åbner serveren. Der er ingen måde at indtaste en to-trins verifikationskode i disse ældre applikationer.
For at rette op på dette, giver Google, Microsoft, Apple og forskellige andre kontoudbydere, der tilbyder to-trins verifikation, også mulighed for at generere en "applikationsspecifik adgangskode." Du indtaster så dette kodeord i programmet - for eksempel dit skrivebordvalgfri e-mail-klient - og det pågældende program kan med glæde forbinde til din konto. Problemet løst - programmer, der ikke er kompatible med to-trins autentificering, arbejder nu med det.
Vent et minut, hvad er der lige sket?
De fleste mennesker vil sandsynligvis fortsætte på deres vej, sikre, at de bruger to-faktor-autentificering og er sikre. Men den "applikationsspecifikke adgangskode" er faktisk en ny adgangskode, der giver adgang til hele din konto, uden at omgå tofaktors godkendelse helt. På denne måde kan disse applikationsspecifikke adgangskoder tillade ældre applikationer, som er afhængige af at huske adgangskoder til at fungere.
Backup-koder tillader dig også at omgå tofaktorautentificering, men de kan kun bruges én gang hver. I modsætning til backupkoder kan applikationsspecifikke adgangskoder bruges til evigt - eller indtil du manuelt tilbagekalder dem.
Hvorfor de kaldes Application-Specific Passwords
Disse kaldes ofte applikationsspecifikke adgangskoder, fordi du skal generere en ny til hver applikation, du bruger. Derfor tillader Google og andre tjenester dig ikke at se disse applikationsspecifikke adgangskoder, når du har genereret dem. De vises på hjemmesiden en gang, du indtaster dem i ansøgningen, og så ser du ideelt set dem aldrig igen. Næste gang du skal bruge en sådan applikation, genererer du bare en ny app-adgangskode.
Dette giver nogle sikkerhedsfordele. Når du er færdig med et program, kan du bruge knappen her til at "Tilbagekalde" en applikationsspecifik adgangskode, og denne adgangskode giver ikke længere adgang til din konto. Alle programmer, der bruger den gamle adgangskode, virker ikke. App-adgangskoden i skærmbilledet nedenfor blev tilbagekaldt, så det er derfor sikkert at vise det.
Applikationsspecifikke adgangskoder er helt sikkert en stor forbedring i forhold til ikke at bruge tofaktors godkendelse overhovedet. Afgivelse af applikationsspecifikke adgangskoder er bedre end at give hver applikation dit primære kodeord. Det er nemmere at tilbagekalde en appspecifik adgangskode end at ændre din hovedadgangskode helt.
Risikoen
Hvis du har genereret fem applikationsspecifikke adgangskoder, er der fem adgangskoder, der kan bruges til at få adgang til dine konti Risiciene er klare:
- Hvis adgangskoden er kompromitteret, kan den bruges til at få adgang til din konto. Lad os f.eks. Sige, at du har tofaktorautentificering oprettet på din Google-konto, og din computer er inficeret af malware. Two-factor-godkendelsen beskytter normalt din konto, men malware kan høste applikationsspecifikke adgangskoder gemt i applikationer som Thunderbird og Pidgin. Disse adgangskoder kunne derefter bruges til direkte adgang til din konto.
- En person med adgang til din computer kunne generere en applikationsspecifik adgangskode og derefter holde fast på den ved at bruge den til at komme ind på din konto uden tofaktorautentificering i fremtiden. Hvis nogen kiggede over din skulder, mens du genererede en applikationsspecifik adgangskode og fanget dit kodeord, ville de have adgang til din konto.
- Hvis du angiver en applikationsspecifik adgangskode til en tjeneste eller et program, og det pågældende program er ondsindet, har du ikke kun givet en enkelt adgang til din konto - programmets ejer kunne sende adgangskoden sammen, og andre kunne bruge det til ondsindetformål.
Nogle tjenester kan forsøge at begrænse weblogins med applikationsspecifikke adgangskoder, men det er mere bandaid. I sidste ende giver applikationsspecifikke adgangskoder ubegrænset adgang til din konto ved design, og der er ikke meget, der kan gøres for at forhindre det.
Vi forsøger ikke at skræmme dig for meget her. Men virkeligheden af applikationsspecifikke adgangskoder er, at de ikke er applikationsspecifikke. De er en sikkerhedsrisiko, så du bør ophæve applikationsspecifikke adgangskoder, du ikke længere bruger. Vær forsigtig med dem, og behandl dem som masteradgangskoderne på din konto, som de er.