it-swarm.dev

Account Google: implicazioni sull'uso di password specifiche dell'applicazione

Sulla scia della recente storia di Mat Honan ho deciso di provare l'autenticazione a due fattori sul mio account Google. Ma per continuare a usarlo con Exchange, il Android, Google Talk e Google Chrome devi creare password specifiche per l'applicazione.

Riepilogo della procedura

Application-specific passwordsApplication-specific passwords

Vorrei chiarire alcune cose. Comprendo correttamente le implicazioni di sicurezza delle password specifiche dell'applicazione?

  • Google non disabilita automaticamente le password specifiche dell'app quando vengono improvvisamente utilizzate fuori dal contesto previsto (ad es. Per accedere alla posta elettronica anche se è stata impostata per Chrome).
  • Devo generare password aggiuntive che consentano tutte un accesso immediato al mio account, ignorando completamente l'autenticazione a due fattori. Maggiore è il numero di password specifiche dell'applicazione, maggiori sono le probabilità che un attacco di forza bruta abbia successo.
  • Queste password hanno una lunghezza fissa e non contengono numeri o simboli, il che le rende più suscettibili agli attacchi di forza bruta rispetto a una password con lunghezza sconosciuta contenente lettere, numeri e simboli.

Supponendo che voglio continuare a utilizzare funzionalità come l'accesso IMAP (che mi costringerebbe a creare almeno una password specifica per l'app), starei meglio o peggio usando l'autenticazione a due fattori?

31
Pieter

Hai scritto (enfasi sulla mia):

Maggiore è il numero di password specifiche dell'applicazione maggiori sono le probabilità che un attacco di forza bruta riesca.

Queste password hanno una lunghezza fissa e non contengono numeri o simboli, che le rendono più suscettibili agli attacchi di forza bruta rispetto a una password con lunghezza sconosciuta contenente lettere, numeri e simboli.

Risposta breve: non in alcun modo pratico.

Risposta lunga:

Fai i conti: 16 lettere minuscole consentono 26 ^ 16 password diverse, ovvero più di 10 ^ 22 = 10 × 1000 ^ 7 = dieci sextillion possibili password.

Se la password viene scelta in modo casuale con pari probabilità (non abbiamo motivo di credere che non sia il caso), le probabilità di infrangere il la password con la forza bruta è trascurabile, anche se Google non nota l'attacco e non prende alcuna contromisura.

Anche con 100 password specifiche dell'applicazione per un account Google, non è possibile provare questo attacco. La "suscettibilità" agli attacchi di forza bruta è zero.

Ed è molto più facile su molti smartphone digitare una password composta solo da lettere minuscole rispetto a una combinazione di lettere e lettere numerate o maiuscole ( per lo stesso numero di possibili password).

Hai anche scritto:

Google non disabilita automaticamente le password specifiche dell'app quando vengono improvvisamente utilizzate fuori dal contesto previsto (ad es. Per accedere alla posta elettronica anche se è stata impostata per Chrome).

Questo è l'unico vero problema di sicurezza qui.

23
curiousguy

NON puoi accedere al tuo account con una password specifica per l'applicazione

Le password specifiche dell'applicazione non possono modificare le impostazioni di sicurezza, accedono solo alla posta elettronica e alla chat. Quindi puoi avere la tua privacy compromessa, ma il tuo account non può essere dirottato.

Ecco cosa succede quando provi e accedi per modificare le impostazioni del tuo account utilizzando una password specifica dell'applicazione:

google login

20
Airton Granero

Innanzitutto, l'autenticazione a due fattori protegge chiaramente il tuo account di posta elettronica primario da attacchi dannosi. Gli aggressori non possono accedere direttamente al tuo account di posta elettronica senza accedere al tuo telefono.

È meglio che non abilitare l'autenticazione a due fattori in quanto esiste un ulteriore livello di protezione.

Ciò che fa la password specifica dell'app è fornire una chiara separazione dal tuo account di posta elettronica. Permette alle applicazioni di accedere alle informazioni dal proprio account senza dover divulgare la password della propria e-mail.

Come puoi vedere dalle tue foto, puoi monitorare l'attività della password specifica dell'app. Se qualcosa è fuori dal comune, è possibile revocare l'accesso alla password.

Potrebbe essere possibile forzare la password, ma ha un impatto minore rispetto alla forzatura della password dell'account principale. Il controllo dei danni è più facile da implementare in quanto è possibile revocare le password quando necessario.

L'abilitazione dell'autenticazione a due fattori da parte di Google non ha inconvenienti, tranne per il leggero inconveniente di dover raggiungere il tuo telefono o generare una nuova password specifica per l'app quando ne hai bisogno.

3
user10211