25Aug

Warnung: Ihre "anwendungsspezifischen Passwörter" sind nicht anwendungsspezifisch

Anwendungsspezifische Passwörter sind gefährlicher als sie klingen. Trotz ihres Namens sind sie alles andere als anwendungsspezifisch. Jedes anwendungsspezifische Kennwort ähnelt eher einem Hauptschlüssel, der uneingeschränkten Zugriff auf Ihr Konto ermöglicht.

"Anwendungsspezifische Passwörter" sind so benannt, um gute Sicherheitsmaßnahmen zu fördern - Sie sollten sie nicht wiederverwenden. Der Name kann jedoch für viele Menschen auch ein falsches Sicherheitsgefühl darstellen.

Warum anwendungsspezifische Kennwörter erforderlich sind

Zwei-Faktor-Authentifizierung - oder zweistufige Überprüfung oder wie auch immer ein Dienst sie aufruft - erfordert zwei Dinge, um sich bei Ihrem Konto anzumelden. Sie müssen zuerst Ihr Passwort eingeben und dann einen einmaligen Code eingeben, der von einer Smartphone-App generiert, per SMS gesendet oder per E-Mail an Sie gesendet wird.

So funktioniert es normalerweise, wenn Sie sich auf der Website eines Service oder einer kompatiblen Anwendung anmelden. Sie geben Ihr Passwort ein und Sie werden aufgefordert, den einmaligen Code einzugeben. Sie geben den Code ein und Ihr Gerät erhält ein OAuth-Token, das die Anwendung oder den Browser als authentifiziert betrachtet, oder etwas Ähnliches - es speichert das Passwort nicht.

Einige Anwendungen sind jedoch nicht mit diesem zweistufigen Schema kompatibel. Angenommen, Sie möchten mit einem Desktop-E-Mail-Client auf Gmail-, Outlook.com- oder iCloud-E-Mails zugreifen. Diese E-Mail-Clients fragen Sie nach einem Kennwort, speichern dieses Kennwort und verwenden es bei jedem Zugriff auf den Server. Es gibt keine Möglichkeit, einen zweistufigen Bestätigungscode in diese älteren Anwendungen einzugeben.

Um dies zu beheben, bieten Google, Microsoft, Apple und verschiedene andere Kontoanbieter, die eine Bestätigung in zwei Schritten anbieten, auch die Möglichkeit, ein "anwendungsspezifisches Passwort" zu generieren. Sie geben dieses Passwort dann in die Anwendung ein, zE-Mail-Client der Wahl - und diese Anwendung kann sich glücklich mit Ihrem Konto verbinden. Problem gelöst - Anwendungen, die mit der zweistufigen Authentifizierung nicht kompatibel sind, funktionieren jetzt damit.

Warten Sie eine Minute, was gerade passiert ist?

Die meisten Leute werden wahrscheinlich ihren Weg fortsetzen, da sie sicher sind, dass sie eine Zwei-Faktor-Authentifizierung verwenden und sicher sind. Dieses "anwendungsspezifische Passwort" ist jedoch ein neues Passwort, das den Zugriff auf Ihr gesamtes Konto ermöglicht und die Zwei-Faktor-Authentifizierung vollständig umgeht. Auf diese Weise ermöglichen diese anwendungsspezifischen Kennwörter älteren Anwendungen, die auf das Erinnern von Kennwörtern angewiesen sind, zu funktionieren.

Backup-Codes ermöglichen es Ihnen auch, die Zwei-Faktor-Authentifizierung zu umgehen, sie können jedoch nur einmal verwendet werden. Im Gegensatz zu Backup-Codes können anwendungsspezifische Passwörter für immer verwendet werden - oder bis Sie sie manuell widerrufen.

Warum werden sie als anwendungsspezifische Kennwörter bezeichnet?

Diese Kennwörter werden oft als anwendungsspezifische Kennwörter bezeichnet, da Sie für jede verwendete Anwendung ein neues Kennwort generieren müssen. Aus diesem Grund können Google und andere Dienste diese anwendungsspezifischen Passwörter nicht anzeigen, nachdem Sie sie generiert haben. Sie werden einmal auf der Website angezeigt, Sie geben sie in der Anwendung ein und dann sehen Sie sie idealerweise nie wieder. Wenn Sie das nächste Mal eine solche Anwendung verwenden müssen, generieren Sie einfach ein neues App-Passwort.

Dies bietet einige Sicherheitsvorteile. Wenn Sie mit einer Anwendung fertig sind, können Sie die Schaltfläche hier verwenden, um ein anwendungsspezifisches Kennwort zu "widerrufen", und dieses Kennwort gewährt Ihrem Konto keinen Zugriff mehr. Alle Anwendungen, die das alte Passwort verwenden, funktionieren nicht. Das App-Passwort im Screenshot unten wurde widerrufen, deshalb ist es sicher, es zu zeigen.

Anwendungsspezifische Passwörter sind sicherlich eine große Verbesserung gegenüber dem Verzicht auf eine Zwei-Faktor-Authentifizierung. Es ist besser, anwendungsspezifische Passwörter zu vergeben, als jeder Anwendung das primäre Passwort zu geben. Es ist einfacher, ein anwendungsspezifisches Passwort zu widerrufen, als das Hauptpasswort vollständig zu ändern.

Die Risiken

Wenn Sie fünf anwendungsspezifische Kennwörter generiert haben, können fünf Kennwörter für den Zugriff auf Ihre Konten verwendet werden. Die Risiken sind klar:

  • Wenn das Passwort kompromittiert ist, könnte es für den Zugriff auf Ihr Konto verwendet werden. Angenommen, Sie haben in Ihrem Google-Konto eine Zwei-Faktor-Authentifizierung eingerichtet, und Ihr Computer ist mit Malware infiziert. Die Zwei-Faktor-Authentifizierung würde normalerweise Ihr Konto schützen, aber die Malware könnte anwendungsspezifische Kennwörter ernten, die in Anwendungen wie Thunderbird und Pidgin gespeichert sind. Diese Passwörter könnten dann verwendet werden, um direkt auf Ihr Konto zuzugreifen.
  • Jemand, der Zugang zu Ihrem Computer hat, könnte ein anwendungsspezifisches Passwort generieren und es dann beibehalten, um es ohne die Zwei-Faktor-Authentifizierung in Zukunft in Ihr Konto zu bekommen. Wenn Ihnen jemand über die Schulter geschaut hat, während Sie ein anwendungsspezifisches Passwort erstellt und Ihr Passwort erfasst haben, haben Sie Zugriff auf Ihr Konto.
  • Wenn Sie einem Dienst oder einer Anwendung ein anwendungsspezifisches Kennwort geben und diese Anwendung bösartig ist, haben Sie nicht nur einer einzigen Anwendung Zugriff auf Ihr Konto gewährt. Der Besitzer der Anwendung könnte das Kennwort weitergeben und von anderen Benutzern für böswillig verwendet werdenZwecke.

Einige Dienste versuchen möglicherweise, Web-Logins mit anwendungsspezifischen Passwörtern einzuschränken, aber das ist eher ein Bandaid. Letztendlich bieten anwendungsspezifische Kennwörter uneingeschränkten Zugriff auf Ihr Konto, und es kann nicht viel getan werden, um dies zu verhindern.

Wir versuchen hier nicht, dich zu sehr zu erschrecken. Die Realität anwendungsspezifischer Passwörter ist jedoch, dass sie nicht anwendungsspezifisch sind. Sie sind ein Sicherheitsrisiko, daher sollten Sie anwendungsspezifische Kennwörter widerrufen, die Sie nicht mehr verwenden. Sei vorsichtig mit ihnen und behandle sie wie die Master-Passwörter für dein Konto, die sie sind.