25Aug
Hasła aplikacji są bardziej niebezpieczne, niż brzmią.Pomimo swojej nazwy nie są one specyficzne dla aplikacji. Każde hasło specyficzne dla aplikacji przypomina raczej klucz szkieletu, który zapewnia nieograniczony dostęp do Twojego konta.
"Hasła aplikacji" są tak nazwane, aby zachęcać do dobrych praktyk bezpieczeństwa - nie powinieneś ich ponownie używać.Jednak nazwa może również zapewniać fałszywe poczucie bezpieczeństwa dla wielu osób.
Dlaczego wymagane są hasła specyficzne dla aplikacji
Dwuskładnikowe uwierzytelnianie - lub dwuetapowa weryfikacja, lub jakakolwiek usługa ją wywołuje - wymaga dwóch rzeczy do zalogowania się na swoje konto. Najpierw musisz wprowadzić swoje hasło, a następnie wprowadzić jednorazowy kod wygenerowany przez aplikację na smartfona, wysłany przez SMS lub wysłany pocztą e-mail.
Tak zwykle działa, gdy logujesz się na stronie serwisu lub kompatybilnej aplikacji. Wprowadź hasło, a następnie pojawi się monit o kod jednorazowy. Wprowadzasz kod, a twoje urządzenie otrzymuje token OAuth, który traktuje aplikację lub przeglądarkę jako uwierzytelnioną, lub coś w tym stylu - w rzeczywistości nie przechowuje hasła.
Jednak niektóre aplikacje nie są kompatybilne z tym dwuetapowym schematem. Na przykład, powiedzmy, że chcesz użyć klienta poczty e-mail na komputerze, aby uzyskać dostęp do Gmaila, Outlook.com lub e-maili iCloud. Te klienty poczty e-mail działają, prosząc użytkownika o podanie hasła, a następnie przechowują to hasło i używają go za każdym razem, gdy uzyskują dostęp do serwera. Nie można wprowadzić dwustopniowego kodu weryfikacyjnego do tych starszych aplikacji.
Aby to naprawić, Google, Microsoft, Apple i inni dostawcy kont oferujący weryfikację dwuetapową oferują także możliwość wygenerowania "hasła specyficznego dla aplikacji". Następnie hasło to należy wprowadzić w aplikacji - na przykład na pulpiciewybrany klient poczty e-mail - aplikacja ta może z powodzeniem połączyć się z Twoim kontem. Problem rozwiązany - teraz działają z nim aplikacje, które nie są kompatybilne z uwierzytelnianiem dwuetapowym.
Zaczekaj minutę, co się właśnie stało?
Większość osób prawdopodobnie będzie kontynuowała swoją podróż, mając pewność, że używa uwierzytelniania dwuskładnikowego i jest bezpieczna. Jednak to "hasło specyficzne dla aplikacji" jest w rzeczywistości nowym hasłem, które zapewnia dostęp do całego konta, całkowicie pomijając uwierzytelnianie dwuskładnikowe. W ten sposób te hasła specyficzne dla aplikacji umożliwiają starszym aplikacjom, które polegają na zapamiętywaniu haseł.
Kody zapasowe umożliwiają również obejście uwierzytelniania dwuskładnikowego, ale można ich używać tylko raz. W przeciwieństwie do kodów zapasowych, hasła aplikacji mogą być używane na zawsze - lub do momentu ich ręcznego odwołania.
Dlaczego są nazywane hasłami specyficznymi dla aplikacji
Są to często nazywane hasła aplikacji, ponieważ należy je generować dla każdej używanej aplikacji. Dlatego Google i inne usługi nie pozwalają na przeglądanie tych haseł aplikacji po ich wygenerowaniu. Są one wyświetlane na stronie raz, wpisujesz je w aplikacji, a następnie, w idealnej sytuacji, nigdy ich więcej nie widzisz. Następnym razem, gdy będziesz potrzebować takiej aplikacji, po prostu wygenerujesz nowe hasło do aplikacji.
Zapewnia to pewne korzyści bezpieczeństwa. Kiedy skończysz z aplikacją, możesz użyć przycisku tutaj, aby "Odwołać" hasło specyficzne dla aplikacji, a to hasło nie będzie już dawało dostępu do Twojego konta.Żadna aplikacja korzystająca ze starego hasła nie będzie działać.Hasło aplikacji na poniższym zrzucie ekranu zostało unieważnione, dlatego możesz bezpiecznie go wyświetlić.
Hasła specyficzne dla aplikacji są z pewnością znacznym ulepszeniem w stosunku do nieużywania w ogóle uwierzytelniania dwuskładnikowego. Oddanie haseł aplikacji jest lepsze niż nadanie każdemu wnioskowi podstawowego hasła.Łatwiej jest odwołać hasło aplikacji, niż całkowicie zmienić hasło główne.
Ryzyko
Jeśli masz wygenerowane pięć haseł aplikacji, istnieje pięć haseł, które można wykorzystać do uzyskania dostępu do kont Ryzyko jest jasne:
- Jeśli hasło zostanie złamane, może zostać użyte do uzyskania dostępu do twojego konta. Załóżmy na przykład, że masz skonfigurowane uwierzytelnianie dwuskładnikowe na swoim koncie Google, a Twój komputer jest zainfekowany złośliwym oprogramowaniem. Uwierzytelnianie dwuskładnikowe zwykle chroni Twoje konto, ale złośliwe oprogramowanie może zbierać hasła specyficzne dla aplikacji przechowywane w aplikacjach takich jak Thunderbird i Pidgin. Hasła te można następnie wykorzystać do bezpośredniego dostępu do konta.
- Ktoś z dostępem do komputera może wygenerować hasło specyficzne dla aplikacji, a następnie przytrzymać je, używając go do wejścia na konto bez uwierzytelniania dwuskładnikowego w przyszłości. Gdyby ktoś patrzył przez ramię na twoją rękę podczas generowania hasła specyficznego dla aplikacji i przechwyconego hasła, miałby dostęp do Twojego konta.
- Jeśli podasz hasło aplikacji do aplikacji lub aplikacji, a ta aplikacja jest złośliwa, nie dałeś dostępu do aplikacji tylko jednemu programowi - właściciel aplikacji mógł przekazać hasło razem, a inne osoby mogły go użyć do złośliwego oprogramowaniacele.
Niektóre usługi mogą próbować ograniczyć logowanie do sieci za pomocą haseł specyficznych dla aplikacji, ale jest to bardziej "bandaid".Docelowo hasła specyficzne dla aplikacji zapewniają nieograniczony dostęp do konta przez projekt i nie można wiele zrobić, aby temu zapobiec.
Nie próbujemy cię zbytnio przestraszyć, tutaj. Jednak rzeczywistość haseł aplikacji jest taka, że nie są one specyficzne dla aplikacji. Stanowią one zagrożenie dla bezpieczeństwa, więc powinieneś odwołać hasła aplikacji, których już nie używasz. Uważaj z nimi i traktuj je jak hasła główne do swojego konta.
