«Пароли, специфичные для приложений» так называются, чтобы поощрять хорошие методы обеспечения безопасности - вы не должны их повторно использовать. Тем не менее, имя может также обеспечить ложное чувство безопасности для многих людей.
Почему необходимы пароли для конкретных приложений
Двухфакторная аутентификация - или двухэтапная аутентификация, или любая услуга, вызывающая ее, - требует двух действий для входа в вашу учетную запись. Вы должны сначала ввести свой пароль, а затем вам нужно ввести код для разового использования, сгенерированный приложением для смартфона, отправленный по SMS или отправленный вам по электронной почте.
Это обычно работает, когда вы заходите на сайт службы или совместимое приложение. Вы вводите свой пароль, а затем запрашивается одноразовый код. Вы вводите код, и ваше устройство получает токен OAuth, который считает аутентификацию приложения или браузера или что-то в этом роде - он фактически не хранит пароль.
Чтобы исправить это, Google, Microsoft, Apple и другие поставщики учетных записей, предлагающие двухэтапную аутентификацию, также предлагают возможность генерировать «пароль, специфичный для приложения». Затем вы вводите этот пароль в приложение - например, адрес электронной почты вашего рабочего стола клиент по выбору - и это приложение может с радостью подключиться к вашей учетной записи. Проблема решена - приложения, которые не совместимы с двухэтапной аутентификацией, теперь работают с ней.
Подождите минуту, что только что произошло?
Большинство людей, вероятно, будут продолжать свой путь, надеясь, что они используют двухфакторную аутентификацию и безопасны. Тем не менее, этот «пароль для конкретного приложения» на самом деле является новым паролем, который обеспечивает доступ ко всей вашей учетной записи, полностью обходя двухфакторную аутентификацию. Вот как эти пароли конкретных приложений позволяют более старым приложениям зависеть от запоминания паролей.
Коды резервного копирования также позволяют обойти двухфакторную аутентификацию, но их можно использовать только один раз. В отличие от резервных кодов, пароли приложений могут использоваться навсегда - или пока вы их не аннулируете вручную.
Почему они называются паролями приложений
Они часто называются паролями приложений, потому что вы должны генерировать новый для каждого используемого вами приложения. Вот почему Google и другие службы не позволяют вам просматривать эти пароли, специфичные для приложений, после их создания. Они отображаются на веб-сайте один раз, вы вводите их в приложение, а затем вы идеально никогда не увидите их снова. В следующий раз, когда вам нужно использовать такое приложение, вы просто создаете новый пароль приложения.
Это обеспечивает некоторые преимущества безопасности. Когда вы закончите работу с приложением, вы можете использовать здесь кнопку «Отменить» пароль, зависящий от приложения, и этот пароль больше не будет предоставлять доступ к вашей учетной записи. Любые приложения, использующие старый пароль, не будут работать. Пароль приложения на скриншоте ниже был аннулирован, поэтому его можно с уверенностью показать.
Пароли, специфичные для приложения, безусловно, являются большим улучшением по сравнению с использованием двухфакторной аутентификации. Предоставление специальных паролей приложений лучше, чем предоставление каждому приложению вашего основного пароля. Отменить пароль для приложения проще, чем полностью изменить основной пароль.
Риски
Если у вас есть пять паролей, специфичных для приложения, существует пять паролей, которые можно использовать для доступа к своим учетным записям. Риски ясны:
- Если пароль скомпрометирован, его можно использовать для доступа к вашей учетной записи. Например, предположим, что у вас есть двухфакторная аутентификация, установленная в вашей учетной записи Google, и ваш компьютер заражен вредоносными программами. Двухфакторная аутентификация обычно защищает вашу учетную запись, но вредоносное ПО может собирать пароли для конкретных приложений, хранящиеся в таких приложениях, как Thunderbird и Pidgin. Затем эти пароли можно использовать для прямого доступа к вашей учетной записи.
- Кто-то, у кого есть доступ к вашему компьютеру, может генерировать пароль для приложения, а затем удерживать его, используя его для входа в вашу учетную запись без двухфакторной аутентификации в будущем. Если кто-то просматривал ваше плечо, когда вы создавали пароль для приложения и записывали свой пароль, у них был бы доступ к вашей учетной записи.
- Если вы предоставляете пароль приложения для приложения или приложения, и это приложение является вредоносным, вы не просто предоставили доступ к одной учетной записи для одного приложения - владелец приложения может передать пароль, а другие могут использовать его для вредоносных целей,
Некоторые службы могут пытаться ограничить веб-логины паролями приложений, но это скорее бандад. В конечном счете, пароли, специфичные для приложения, обеспечивают неограниченный доступ к вашей учетной записи по дизайну, и для предотвращения этого мало что можно сделать.
Здесь мы не пытаемся вас слишком напугать. Но реальность паролей, специфичных для приложений, заключается в том, что они не зависят от приложения. Они представляют собой угрозу безопасности, поэтому вам следует отменить пароли, специфичные для приложения, которые вы больше не используете. Будьте осторожны с ними и относитесь к ним как к основным паролям к вашей учетной записи, которые они есть.
