25Aug
As senhas específicas do aplicativo são mais perigosas do que som. Apesar de seu nome, eles são tudo menos específicos para aplicativos. Cada senha específica do aplicativo é mais como uma chave de esqueleto que fornece acesso irrestrito à sua conta.
"Senhas específicas de aplicativos" são chamados a encorajar boas práticas de segurança - você não deve reutilizá-las. No entanto, o nome também pode fornecer uma falsa sensação de segurança para muitas pessoas.
Por que as senhas específicas da aplicação são necessárias
A autenticação de dois fatores - ou a verificação em duas etapas, ou seja qual for o serviço que a chama - exige duas coisas para fazer login na sua conta. Você deve primeiro inserir sua senha e, em seguida, você deve inserir um código de uso único gerado por um aplicativo de smartphone, enviado via SMS ou enviado por e-mail.
É assim que funciona normalmente quando você faz login no site de um serviço ou em uma aplicação compatível. Você insere sua senha e, em seguida, você será solicitado pelo código de uma vez. Você insere o código e seu dispositivo recebe um token OAuth que considera o aplicativo ou navegador autenticado, ou algo assim - ele realmente não armazena a senha.
No entanto, algumas aplicações não são compatíveis com este esquema de duas etapas. Por exemplo, digamos que você deseja usar um cliente de e-mail de desktop para acessar o email do Gmail, Outlook.com ou iCloud. Estes clientes de e-mail funcionam pedindo uma senha e depois armazenam essa senha e usam toda vez que acessam o servidor. Não há como inserir um código de verificação em duas etapas para esses aplicativos mais antigos.
Para corrigir isso, o Google, a Microsoft, a Apple e vários outros fornecedores de contas que oferecem verificação em duas etapas também oferecem a capacidade de gerar uma "senha específica do aplicativo". Em seguida, insira essa senha no aplicativo - por exemplo, sua área de trabalhocliente de e-mail de escolha - e esse aplicativo pode se conectar felizmente à sua conta. Problema resolvido - aplicativos que não seriam compatíveis com a autenticação em duas etapas agora funcionam com ele.
Aguarde um minuto, o que acabou de acontecer?
A maioria das pessoas provavelmente continuará a caminho, seguro no conhecimento de que eles estão usando a autenticação de dois fatores e são seguros. No entanto, essa "senha específica do aplicativo" é, na verdade, uma nova senha que fornece acesso à sua conta inteira, ignorando completamente a autenticação de dois fatores.É assim que essas senhas específicas de aplicativos permitem aplicativos mais antigos que dependem de lembrar senhas para funcionar.
Os códigos de backup também permitem que você ignore a autenticação de dois fatores, mas eles só podem ser usados uma vez por cada. Ao contrário dos códigos de backup, as senhas específicas do aplicativo podem ser usadas para sempre - ou até você revogê-las manualmente.
Por que são chamadas Senhas específicas de aplicativos
Muitas vezes, elas são chamadas de senhas específicas de aplicativos porque você deve gerar uma nova para cada aplicativo que você usa.É por isso que o Google e outros serviços não permitem que você visualize realmente essas senhas específicas do aplicativo assim que as gerou. Eles são exibidos no site uma vez, você os insere no aplicativo e, em seguida, você idealmente nunca vê-los novamente. Na próxima vez que você precisar usar esse aplicativo, você apenas gera uma nova senha de aplicativo.
Isso oferece algumas vantagens de segurança. Quando terminar com um aplicativo, você pode usar o botão aqui para "Revogar" uma senha específica do aplicativo e essa senha deixará de conceder acesso à sua conta. Qualquer aplicativo que use a senha antiga não funcionará.A senha do aplicativo na captura de tela abaixo foi revogada, então é por isso que é seguro mostrar isso.
As senhas específicas de aplicativos são certamente uma grande melhoria em relação à não utilização de autenticação de dois fatores. Descartar senhas específicas do aplicativo é melhor do que dar a cada aplicação sua senha principal.É mais fácil revogar uma senha específica do aplicativo do que mudar sua senha principal completamente.
Os riscos
Se você tiver cinco senhas específicas de aplicativos geradas, existem cinco senhas que podem ser usadas para acessar suas contas. Os riscos são claros:
- Se a senha estiver comprometida, ela poderá ser usada para acessar sua conta. Por exemplo, digamos que você tenha autenticação de dois fatores configurada em sua conta do Google e seu computador está infectado por malware. A autenticação de dois fatores normalmente protegeria sua conta, mas o malware poderia colher senhas específicas de aplicativos armazenadas em aplicativos como Thunderbird e Pidgin. Essas senhas podem então ser usadas para acessar diretamente sua conta.
- Alguém com acesso ao seu computador pode gerar uma senha específica do aplicativo e depois mantê-la, usando-a para entrar na sua conta sem a autenticação de dois fatores no futuro. Se alguém estivesse olhando por cima do ombro enquanto gerava uma senha específica do aplicativo e capturara sua senha, eles teriam acesso à sua conta.
- Se você fornecer uma senha específica do aplicativo para um serviço ou aplicativo e esse aplicativo é mal-intencionado, você não forneceu apenas um acesso de aplicativo à sua conta - o proprietário do aplicativo pode passar a senha e outras pessoas podem usá-lo por mal-intencionadopropósitos.
Alguns serviços podem tentar restringir logins da web com senhas específicas de aplicativos, mas isso é mais um bandaid. Em última análise, as senhas específicas do aplicativo fornecem acesso irrestrito à sua conta por design, e não há muito o que pode ser feito para preveni-la.
Não estamos tentando assustá-lo demais, aqui. Mas a realidade das senhas específicas do aplicativo é que eles não são específicos da aplicação. Eles são um risco de segurança, então você deve revogar senhas específicas de aplicativos que você não usa mais. Tenha cuidado com eles e trate-os como as senhas mestre para sua conta que são.
