25Aug
Las contraseñas específicas de la aplicación son más peligrosas de lo que suenan. A pesar de su nombre, son todo menos específicos de la aplicación. Cada contraseña específica de la aplicación se parece más a una clave esquemática que proporciona acceso irrestricto a su cuenta.
Las "contraseñas específicas de la aplicación" se denominan así para alentar buenas prácticas de seguridad; se supone que no debes reutilizarlas. Sin embargo, el nombre también puede proporcionar una falsa sensación de seguridad a muchas personas.
Por qué son necesarias las contraseñas específicas de aplicaciones
La autenticación de dos factores, o la verificación en dos pasos, o como lo llame un servicio, requiere dos cosas para iniciar sesión en su cuenta. Primero debe ingresar su contraseña y luego debe ingresar un código de uso único generado por una aplicación de teléfono inteligente, enviado por SMS o por correo electrónico.
Así es como funciona normalmente cuando inicia sesión en el sitio web de un servicio o una aplicación compatible. Ingrese su contraseña, y luego se le pedirá el código de una sola vez. Ingresa el código y su dispositivo recibe un token de OAuth que considera que la aplicación o el navegador está autenticado, o algo así, en realidad no almacena la contraseña.
Sin embargo, algunas aplicaciones no son compatibles con este esquema de dos pasos. Por ejemplo, supongamos que desea utilizar un cliente de correo electrónico de escritorio para acceder a Gmail, Outlook.com o correo electrónico de iCloud. Estos clientes de correo electrónico funcionan solicitándote una contraseña y luego almacenan esa contraseña y la usan cada vez que acceden al servidor. No hay forma de ingresar un código de verificación de dos pasos en estas aplicaciones anteriores.
Para solucionar esto, Google, Microsoft, Apple y varios otros proveedores de cuentas que ofrecen verificación en dos pasos también ofrecen la posibilidad de generar una "contraseña específica de la aplicación". A continuación, ingrese esta contraseña en la aplicación, por ejemplo, su escritoriocliente de correo electrónico de elección, y esa aplicación puede conectarse felizmente a su cuenta. Problema resuelto: las aplicaciones que no serían compatibles con la autenticación en dos pasos ahora funcionan con él.
Espere un minuto, ¿qué acaba de suceder?
La mayoría de las personas probablemente continuará su camino, segura de que están usando la autenticación de dos factores y están a salvo. Sin embargo, esa "contraseña específica de la aplicación" es en realidad una nueva contraseña que proporciona acceso a toda su cuenta, evitando por completo la autenticación de dos factores. Así es como estas contraseñas específicas de la aplicación permiten que las aplicaciones antiguas que dependen de recordar contraseñas funcionen. Los códigos de copia de seguridad
también le permiten omitir la autenticación de dos factores, pero solo se pueden usar una vez cada uno. A diferencia de los códigos de copia de seguridad, las contraseñas específicas de la aplicación se pueden usar para siempre, o hasta que las revoques manualmente.
Por qué se llaman contraseñas específicas de la aplicación
A menudo se llaman contraseñas específicas de la aplicación porque se supone que debe generar una nueva para cada aplicación que use. Es por eso que Google y otros servicios no le permiten ver estas contraseñas específicas de la aplicación una vez que las haya generado. Se muestran una vez en el sitio web, los ingresa en la aplicación y, a continuación, lo ideal es que nunca los vuelvan a ver. La próxima vez que necesite usar una aplicación de este tipo, solo generará una nueva contraseña de la aplicación.
Esto proporciona algunas ventajas de seguridad. Cuando haya terminado con una aplicación, puede usar el botón aquí para "Revocar" una contraseña específica de la aplicación y esa contraseña ya no le otorgará acceso a su cuenta. Cualquier aplicación que use la contraseña anterior no funcionará.La contraseña de la aplicación en la siguiente captura de pantalla fue revocada, por lo que es seguro mostrarla.
Las contraseñas específicas de la aplicación son ciertamente una gran mejora sobre no utilizar la autenticación de dos factores. Regalar contraseñas específicas de la aplicación es mejor que darle a cada aplicación su contraseña principal. Es más fácil revocar una contraseña específica de la aplicación que cambiar por completo su contraseña principal.
Los riesgos
Si tiene cinco contraseñas específicas de la aplicación generadas, hay cinco contraseñas que se pueden usar para acceder a sus cuentas. Los riesgos son claros:
- Si la contraseña está en peligro, podría usarse para acceder a su cuenta. Por ejemplo, supongamos que tienes una autenticación de dos factores configurada en tu cuenta de Google y tu computadora está infectada por malware. La autenticación de dos factores normalmente protegería su cuenta, pero el malware podría recolectar contraseñas específicas de la aplicación almacenadas en aplicaciones como Thunderbird y Pidgin. Esas contraseñas podrían usarse para acceder directamente a su cuenta.
- Alguien con acceso a su computadora podría generar una contraseña específica de la aplicación y luego retenerla, usándola para ingresar a su cuenta sin la autenticación de dos factores en el futuro. Si alguien estaba mirando por encima de su hombro mientras generaba una contraseña específica de la aplicación y capturaba su contraseña, tendrían acceso a su cuenta.
- Si proporciona una contraseña específica de la aplicación a un servicio o aplicación y esa aplicación es maliciosa, no solo le ha dado acceso a una sola aplicación a su cuenta: el propietario de la aplicación podría pasar la contraseña y otras personas podrían usarla para maliciosospropósitos.
Algunos servicios pueden intentar restringir los inicios de sesión en la web con contraseñas específicas de la aplicación, pero eso es más bien una bandaida. En última instancia, las contraseñas específicas de la aplicación brindan acceso irrestricto a su cuenta por diseño, y no hay mucho que se pueda hacer para evitarlo.
No estamos tratando de asustarte demasiado aquí.Pero la realidad de las contraseñas específicas de la aplicación es que no son específicas de la aplicación. Son un riesgo de seguridad, por lo que debe revocar las contraseñas específicas de la aplicación que ya no usa. Tenga cuidado con ellos y trátelos como si fueran contraseñas maestras de su cuenta.