25Aug
Applicatiespecifieke wachtwoorden zijn gevaarlijker dan ze klinken. Ondanks hun naam zijn ze alles behalve toepassingsspecifiek. Elk applicatiespecifiek wachtwoord lijkt meer op een skeletsleutel die onbeperkte toegang tot uw account biedt.
"applicatiespecifieke wachtwoorden" zijn zo genoemd om goede beveiligingspraktijken aan te moedigen - u mag ze niet opnieuw gebruiken. De naam kan echter ook een vals gevoel van veiligheid bieden aan veel mensen.
Waarom applicatiespecifieke wachtwoorden nodig zijn
Twee-factor authenticatie - of tweestapsverificatie, of hoe een service het ook noemt - vereist twee dingen om in te loggen op uw account. U moet eerst uw wachtwoord invoeren en vervolgens moet u een code voor eenmalig gebruik invoeren die is gegenereerd door een smartphone-app, die via sms is verzonden of naar u is gemaild.
Zo werkt het normaal gesproken wanneer u zich aanmeldt op de website van een dienst of een compatibele applicatie. U voert uw wachtwoord in en vervolgens wordt u om de eenmalige code gevraagd. U voert de code in en uw apparaat ontvangt een OAuth-token dat de toepassing of browser als geverifieerd beschouwt, of iets dergelijks - het slaat het wachtwoord niet op.
Sommige toepassingen zijn echter niet compatibel met dit tweestaps-schema. Stel dat u bijvoorbeeld een desktop-e-mailclient wilt gebruiken om toegang te krijgen tot e-mail van Gmail, Outlook.com of iCloud. Deze e-mailclients werken door u om een wachtwoord te vragen en vervolgens slaan zij dat wachtwoord op en gebruiken het elke keer dat zij de server bezoeken. Er is geen manier om een tweestaps-verificatiecode in te voeren in deze oudere applicaties.
Om dit op te lossen, bieden Google, Microsoft, Apple en verschillende andere accountproviders die tweestapsverificatie bieden, ook de mogelijkheid om een "applicatiespecifiek wachtwoord" te genereren. Vervolgens geeft u dit wachtwoord op in de toepassing, bijvoorbeeld uw bureaublade-mailclient naar keuze - en die applicatie kan gelukkig verbinding maken met uw account. Probleem opgelost - applicaties die niet compatibel zouden zijn met authenticatie in twee stappen, werken er nu mee.
Wacht een minuut, wat is er net gebeurd?
De meeste mensen zullen waarschijnlijk hun weg blijven volgen, veilig in de wetenschap dat ze twee-factor-authenticatie gebruiken en veilig zijn. Dat "applicatiespecifieke wachtwoord" is echter eigenlijk een nieuw wachtwoord dat toegang biedt tot uw hele account, waarbij tweevoudige authenticatie volledig wordt omzeild. Op deze manier laten deze applicatiespecifieke wachtwoorden oudere applicaties toe die afhankelijk zijn van het onthouden van wachtwoorden.
Back-upcodes laten u ook toe om tweefactorauthenticatie te omzeilen, maar ze kunnen slechts één keer per keer worden gebruikt. In tegenstelling tot back-upcodes, kunnen applicatiespecifieke wachtwoorden voor altijd worden gebruikt - of totdat u ze handmatig intrekt.
Waarom ze Application-Specific Passwords worden genoemd
Dit worden vaak applicatiespecifieke wachtwoorden genoemd, omdat het de bedoeling is dat je een nieuwe genereert voor elke applicatie die je gebruikt. Dat is de reden waarom Google en andere services u niet toestaan deze applicatiespecifieke wachtwoorden daadwerkelijk te bekijken als u ze eenmaal heeft gegenereerd. Ze worden eenmaal op de website weergegeven, u geeft ze op in de applicatie en dan ziet u ze idealiter nooit meer terug. De volgende keer dat u een dergelijke toepassing nodig heeft, genereert u gewoon een nieuw app-wachtwoord.
Dit biedt een aantal beveiligingsvoordelen. Wanneer u klaar bent met een toepassing, kunt u de knop hier gebruiken om een applicatiespecifiek wachtwoord te "herroepen" en geeft dat wachtwoord niet langer toegang tot uw account. Alle toepassingen die het oude wachtwoord gebruiken, werken niet. Het app-wachtwoord in de onderstaande schermafbeelding is ingetrokken, dus daarom is het veilig om het weer te geven.
Applicatiespecifieke wachtwoorden zijn zeker een grote verbetering ten opzichte van helemaal geen gebruik van tweefactorauthenticatie. Het geven van applicatiespecifieke wachtwoorden is beter dan elke applicatie uw primaire wachtwoord te geven. Het is gemakkelijker om een app-specifiek wachtwoord in te trekken dan om je hoofdwachtwoord volledig te wijzigen.
De risico's
Als u vijf applicatiespecifieke wachtwoorden hebt gegenereerd, zijn er vijf wachtwoorden die kunnen worden gebruikt om toegang te krijgen tot uw accounts. De risico's zijn duidelijk:
- Als het wachtwoord is aangetast, kan het worden gebruikt om toegang te krijgen tot uw account. Stel dat u authenticatie met twee factoren hebt ingesteld voor uw Google-account en dat uw computer is geïnfecteerd door malware. De twee-factorenauthenticatie beschermt normaal uw account, maar de malware kan applicatiespecifieke wachtwoorden oogsten die zijn opgeslagen in toepassingen zoals Thunderbird en Pidgin. Die wachtwoorden kunnen dan worden gebruikt om rechtstreeks toegang te krijgen tot uw account.
- Iemand met toegang tot uw computer kan een applicatiespecifiek wachtwoord genereren en vervolgens vasthouden, zodat het in uw account kan worden gebruikt zonder de twee-factor-authenticatie in de toekomst. Als iemand over je schouder kijkt terwijl je een applicatiespecifiek wachtwoord hebt gegenereerd en je wachtwoord hebt vastgelegd, hebben ze toegang tot je account.
- Als u een applicatiespecifiek wachtwoord aan een service of toepassing verstrekt en die applicatie kwaadaardig is, hebt u niet zomaar één applicatie toegang tot uw account gegeven - de eigenaar van de applicatie kon het wachtwoord doorgeven en andere mensen konden het gebruiken voor kwaadwillende gebruikersdoeleinden.
Sommige diensten kunnen proberen webaanmeldingen te beperken met applicatiespecifieke wachtwoorden, maar dat is meer een bandaid. Uiteindelijk hebben applicatiespecifieke wachtwoorden onbeperkte toegang tot uw account per ontwerp en kan er niet veel worden gedaan om dit te voorkomen.
We proberen je hier niet te veel bang voor te maken, hier. Maar de realiteit van applicatiespecifieke wachtwoorden is dat ze niet applicatiespecifiek zijn. Ze vormen een beveiligingsrisico, dus u moet applicatiespecifieke wachtwoorden intrekken die u niet langer gebruikt. Wees voorzichtig met hen en behandel ze als de hoofdwachtwoorden voor uw account die ze zijn.
