25Aug

Varning: Din "Programspecifika lösenord" är inte tillämpningsspecifik

Programspecifika lösenord är farligare än de låter. Trots deras namn är de allt annat än applikationsspecifika. Varje applikationsspecifikt lösenord är mer som en skelettnyckel som ger obegränsad tillgång till ditt konto.

"Applikationsspecifika lösenord" är så kallade för att uppmuntra bra säkerhetspraxis - du ska inte använda dem igen. Namnet kan dock också ge en falsk känsla av säkerhet för många människor.

Varför applikationsspecifika lösenord är nödvändiga

Tvåfaktorsautentisering - eller tvåstegsverifiering, eller vad en tjänst kallar det - kräver två saker att logga in på ditt konto. Du måste först ange ditt lösenord och då måste du ange en engångskod som genereras av en smartphone-app, skickas via SMS eller skickas till dig.

Så här fungerar det normalt när du loggar in på en tjänstens webbplats eller en kompatibel applikation. Du anger ditt lösenord, och sedan uppmanas du till engångskoden. Du anger koden och din enhet tar emot en OAuth-token som anser att programmet eller webbläsaren är autentiserad, eller något liknande - det lagrar inte lösenordet.

Vissa program är emellertid inte kompatibla med detta tvåstegsschema. Låt oss till exempel säga att du vill använda en e-postklient för skrivbordet för att komma åt Gmail, Outlook.com eller iCloud-e-post. Dessa e-postklienter arbetar genom att fråga dig ett lösenord och sedan lagrar de det lösenordet och använder det varje gång de kommer åt servern. Det finns inget sätt att ange en tvåstegs verifieringskod i dessa äldre program.

För att åtgärda detta ger Google, Microsoft, Apple och olika andra leverantörer av konton som erbjuder tvåstegsverifiering också möjlighet att skapa ett "applikationsspecifikt lösenord". Du skriver sedan in det här lösenordet i programmet - till exempel skrivbordetvalfri e-postklient - och den applikationen kan gärna ansluta till ditt konto. Problemlösning - Program som inte är kompatibla med tvåstegs autentisering fungerar nu med det.

Vänta en minut, vad hände just?

De flesta kommer troligen att fortsätta på väg, säkra i vetskap att de använder tvåfaktors autentisering och är säkra. Men det "applikationsspecifika lösenordet" är egentligen ett nytt lösenord som ger tillgång till hela ditt konto, kringgå tvåfaktors autentisering helt. Så här låter dessa applikationsspecifika lösenord tillåta äldre program som beror på att du kommer ihåg lösenord för att fungera.

Backup-koder tillåter dig också att kringgå tvåfaktors autentisering, men de kan bara användas en gång vardera. Till skillnad från säkerhetskopieringskoder kan applikationsspecifika lösenord användas för alltid - eller tills du manuellt återkallar dem.

Varför de kallas applikationsspecifika lösenord

Dessa kallas ofta applikationsspecifika lösenord, eftersom du ska skapa en ny för varje applikation du använder. Därför tillåter Google och andra tjänster inte att du faktiskt ser dessa applikationsspecifika lösenord när du har skapat dem. De visas på webbplatsen en gång, du anger dem i ansökan, och så ser du helst aldrig dem igen. Nästa gång du behöver använda en sådan applikation, skapar du bara ett nytt applösenord.

Detta ger vissa säkerhetsfördelar. När du är klar med en ansökan kan du använda knappen här för att "Återkalla" ett programspecifikt lösenord och det lösenordet ger inte längre tillgång till ditt konto. Alla program som använder det gamla lösenordet fungerar inte. App-lösenordet i skärmdumpen nedan har återkallats, så det är därför det är säkert att visa det.

Applikationsspecifika lösenord är verkligen en stor förbättring jämfört med att du inte använder tvåfaktors autentisering alls. Att ge bort programspecifika lösenord är bättre än att ge varje applikation ditt primära lösenord. Det är lättare att återkalla ett appspecifikt lösenord än att helt ändra ditt huvudlösenord.

Riskerna

Om du har skapat fem applikationsspecifika lösenord, finns det fem lösenord som kan användas för att få tillgång till dina konton Riskerna är klara:

  • Om lösenordet äventyras kan det användas för att komma åt ditt konto. Låt oss till exempel säga att du har tvåfaktorsautentisering på ditt Google-konto och datorn är infekterad av skadlig kod. Tvåfaktorsautentiseringen skyddar normalt ditt konto, men skadlig programvara kan skörda applikationsspecifika lösenord som lagras i applikationer som Thunderbird och Pidgin. Dessa lösenord kan sedan användas för att få tillgång till ditt konto direkt.
  • Någon som har tillgång till din dator kan skapa ett applikationsspecifikt lösenord och sedan hålla fast vid det, använda det för att komma in på ditt konto utan tvåfaktors autentisering i framtiden. Om någon tittade över din axel när du skapade ett applikationsspecifik lösenord och tagit ditt lösenord, skulle de ha tillgång till ditt konto.
  • Om du anger ett programspecifikt lösenord för en tjänst eller en applikation och den applikationen är skadlig har du inte bara gett en enda åtkomst till ditt konto - programmets ägare kunde vidarebefordra lösenordet och andra kan använda den för skadligasyften.

Vissa tjänster kan försöka begränsa webbloggar med applikationsspecifika lösenord, men det är mer av en bandaid. I slutändan ger applikationsspecifika lösenord obegränsad tillgång till ditt konto genom design, och det finns inte mycket som kan göras för att förhindra det.

Vi försöker inte skrämma dig för mycket, här. Men verkligheten av applikationsspecifika lösenord är att de inte är applikationsspecifika. De är en säkerhetsrisk, så du bör återkalla applikationsspecifika lösenord som du inte längre använder. Var försiktig med dem och behandla dem som huvudlösenordet på ditt konto som de är.