25Aug
Le password specifiche per le applicazioni sono più pericolose di quanto suonino. Nonostante il loro nome, sono tutt'altro che specifici dell'applicazione. Ogni password specifica per l'applicazione è più simile a una chiave scheletro che fornisce accesso illimitato al tuo account.
Le "password specifiche per applicazione" sono così denominate per incoraggiare buone pratiche di sicurezza - non è necessario riutilizzarle. Tuttavia, il nome potrebbe anche fornire un falso senso di sicurezza a molte persone.
Perché sono necessarie password specifiche per l'applicazione
Autenticazione a due fattori - o verifica in due passaggi, o qualsiasi servizio lo chiami - richiede due cose per accedere al tuo account. Devi prima inserire la tua password, quindi devi inserire un codice monouso generato da un'app per smartphone, inviato tramite SMS o inviato via email.
Funziona normalmente quando si accede al sito Web di un servizio o ad un'applicazione compatibile. Inserisci la tua password e ti viene richiesto il codice one-time. Si inserisce il codice e il dispositivo riceve un token OAuth che considera l'applicazione o il browser autenticato, o qualcosa del genere - in realtà non memorizza la password.
Tuttavia, alcune applicazioni non sono compatibili con questo schema in due passaggi. Ad esempio, supponiamo che desideri utilizzare un client di posta elettronica desktop per accedere alle email di Gmail, Outlook.com o iCloud. Questi client di posta elettronica funzionano richiedendo una password e quindi memorizzano tale password e la utilizzano ogni volta che accedono al server. Non c'è modo di inserire un codice di verifica in due passaggi in queste vecchie applicazioni.
Per risolvere questo problema, Google, Microsoft, Apple e vari altri fornitori di account che offrono la verifica in due passaggi offrono anche la possibilità di generare una "password specifica per l'applicazione". Quindi inserisci questa password nell'applicazione, ad esempio il desktopclient di posta elettronica di scelta - e tale applicazione può connettersi felicemente al tuo account. Problema risolto: le applicazioni che non sarebbero compatibili con l'autenticazione in due passaggi ora funzionano con esso.
Aspetta un minuto, cosa è appena successo?
La maggior parte delle persone probabilmente continuerà per la propria strada, con la certezza che stanno usando l'autenticazione a due fattori e sono al sicuro. Tuttavia, quella "password specifica per l'applicazione" è in realtà una nuova password che fornisce l'accesso all'intero account, ignorando completamente l'autenticazione a due fattori. Questo è il modo in cui queste password specifiche dell'applicazione consentono alle applicazioni meno recenti che dipendono dal ricordare le password per funzionare. I codici di backup
consentono inoltre di bypassare l'autenticazione a due fattori, ma possono essere utilizzati solo una volta ciascuno. A differenza dei codici di backup, le password specifiche dell'applicazione possono essere utilizzate per sempre o fino alla revoca manuale.
Perché sono chiamate password specifiche dell'applicazione
Queste sono spesso denominate password specifiche per l'applicazione perché si suppone che ne generi una nuova per ogni applicazione che si utilizza. Ecco perché Google e altri servizi non ti consentono di visualizzare effettivamente queste password specifiche per le applicazioni dopo averle generate. Sono visualizzati sul sito Web una volta, li inserisci nell'applicazione e quindi idealmente non li vedi mai più.La prossima volta che devi usare questa applicazione, devi solo generare una nuova password per l'app.
Ciò fornisce alcuni vantaggi di sicurezza. Quando hai finito con un'applicazione, puoi utilizzare il pulsante qui per "Revocare" una password specifica per l'applicazione e tale password non concederà più l'accesso al tuo account. Qualsiasi applicazione che usi la vecchia password non funzionerà.La password dell'app nello screenshot qui sotto è stata revocata, ecco perché è sicuro mostrarla.
Le password specifiche per le applicazioni sono certamente un grande miglioramento rispetto a non utilizzare affatto l'autenticazione a due fattori. Eliminare le password specifiche per le applicazioni è meglio che assegnare ad ogni applicazione la propria password principale.È più facile revocare una password specifica per l'app piuttosto che cambiare completamente la password principale.
The Risks
Se hai cinque password specifiche per applicazione generate, ci sono cinque password che possono essere utilizzate per accedere ai tuoi account I rischi sono chiari:
- Se la password è compromessa, potrebbe essere utilizzata per accedere al tuo account. Ad esempio, supponiamo tu abbia impostato l'autenticazione a due fattori nel tuo account Google e il tuo computer sia stato infettato da malware. L'autenticazione a due fattori normalmente proteggerebbe il tuo account, ma il malware potrebbe raccogliere password specifiche per l'applicazione archiviate in applicazioni come Thunderbird e Pidgin. Queste password potrebbero quindi essere utilizzate per accedere direttamente al tuo account.
- Qualcuno con accesso al tuo computer potrebbe generare una password specifica per l'applicazione e quindi tenerla attiva, utilizzandola per entrare nel tuo account senza l'autenticazione a due fattori in futuro. Se qualcuno ti guardava da capo mentre avevi generato una password specifica per l'applicazione e hai catturato la tua password, avrebbero avuto accesso al tuo account.
- Se fornisci una password specifica per un'applicazione a un servizio o un'applicazione e quell'applicazione è dannosa, non hai solo dato una singola applicazione per accedere al tuo account - il proprietario dell'applicazione potrebbe passare la password e altre persone potrebbero usarlo per scopi malevoliscopi.
Alcuni servizi possono tentare di limitare gli accessi web con password specifiche dell'applicazione, ma questo è più di un bandaid. In definitiva, le password specifiche dell'applicazione forniscono accesso illimitato al tuo account in base alla progettazione, e non c'è molto che possa essere fatto per prevenirlo.
Non stiamo cercando di spaventarti troppo, qui. Ma la realtà delle password specifiche dell'applicazione è che non sono specifiche dell'applicazione. Sono un rischio per la sicurezza, quindi dovresti revocare le password specifiche dell'applicazione che non usi più.Fai attenzione a loro e trattali come le password principali del tuo account che sono.