it-swarm-eu.dev

Účet Google: důsledky používání hesel pro konkrétní aplikace

Po nedávném příběh Mat Honan jsem se rozhodl vyzkoušet dvoufaktorové ověření na mém účtu Google. Chcete-li jej však nadále používat se serverem Exchange, musíte Android OS, Google Talk a Google Chrome) vytvořit hesla pro konkrétní aplikaci.

Shrnutí postupu

Application-specific passwordsApplication-specific passwords

Dovolte mi pár věcí rovně. Rozumím bezpečnostním důsledkům hesel pro konkrétní aplikace správně?

  • Google automaticky nezakáže hesla pro konkrétní aplikace, když jsou náhle použita mimo očekávaný kontext (např. Pro přístup k e-mailu, přestože bylo nastaveno na Chrome synchronizace).
  • Musím vygenerovat další hesla, která všichni poskytují okamžitý přístup k mému účtu, zcela obejít dvoufaktorové ověření. Čím vyšší je počet hesel specifických pro aplikaci, tím vyšší je šance na úspěch útoku hrubou silou.
  • Tato hesla mají pevnou délku a neobsahují čísla ani symboly, díky nimž jsou náchylnější k útokům hrubou silou než heslo s neznámou délkou obsahující písmena, čísla a symboly.

Za předpokladu, že chci nadále používat funkce, jako je přístup IMAP (což by mě nutilo udělat si alespoň jedno heslo pro konkrétní aplikaci), byl bych lepší nebo horší pomocí dvoufaktorové autentizace?

31
Pieter

Napsali jste (důrazný důl):

Čím vyšší je počet hesel pro konkrétní aplikaci vyšší šance na úspěšný útok hrubou silou.

Tato hesla mají pevnou délku a neobsahují čísla ani symboly což je činí náchylnějšími k útokům hrubou silou než heslo s neznámou délkou obsahující písmena, čísla a symboly.

Krátká odpověď: Ne praktickým způsobem.

Dlouhá odpověď:

Proveďte matematiku: 16 malých písmen umožňuje 26 ^ 16 různých hesel, což je více než 10 ^ 22 = 10 × 1000 ^ 7 = deset možných hesel.

Pokud je heslo vybráno náhodně se stejnými pravděpodobnostmi (nemáme důvod se domnívat, že tomu tak není), šance na porušení heslo hrubou silou je zanedbatelné, , i když si Google útok nevšimne a nepodnikne žádné protiopatření.

Dokonce i se 100 hesly pro konkrétní aplikaci pro jeden účet Google neexistuje žádný způsob, jak by tento útok vyzkoušel někdo. „Citlivost“ na útoky brutální silou je nulová.

A na mnoha chytrých telefonech je mnohem snazší zadat heslo vyrobené pouze z malých písmen, než kombinace písmen a číslic nebo písmen velkých písmen ( pro stejný počet možných hesel).

Napsali jste také:

Google automaticky nezakáže hesla pro konkrétní aplikace, když jsou náhle použita mimo očekávaný kontext (např. Pro přístup k e-mailu, přestože bylo nastaveno na Chrome synchronizace).

To je jediný skutečný bezpečnostní problém.

23
curiousguy

Do svého účtu se NEMŮŽETE přihlásit pomocí hesla pro konkrétní aplikaci

Hesla pro konkrétní aplikace nemohou změnit nastavení zabezpečení, pouze přístup k e-mailu a chatu. Můžete tak nechat ohrozit soukromí, ale váš účet nemůže být unesen.

Co se stane, když se pokusíte přihlásit a změnit nastavení účtu pomocí hesla pro konkrétní aplikaci:

google login

20
Airton Granero

Za prvé, dvoufaktorová autentizace jasně chrání váš primární e-mailový účet před škodlivými útoky. Útočníci nemohou přímo získat přístup k vašemu e-mailovému účtu bez přístupu k vašemu telefonu.

To je lepší, než povolit dvoufaktorovou autentizaci, protože existuje přidaná vrstva ochrany.

Heslo pro konkrétní aplikaci činí jasné oddělení od vašeho e-mailového účtu. Umožňuje aplikacím přístup k informacím z vašeho účtu, aniž by bylo nutné prozrazovat heslo k e-mailu.

Jak můžete vidět z vašich obrázků, můžete sledovat aktivitu hesla pro konkrétní aplikaci. Pokud je něco neobvyklého, můžete přístup k heslu zrušit.

Pravděpodobně je možné heslo vynutit hrubou silou, ale má menší dopad než hrubou silou hlavního hesla účtu. Kontrola poškození se snadněji implementuje, protože v případě potřeby můžete zrušit hesla.

Povolení dvoufaktorové autentizace společností Google nemá žádné nevýhody, s výjimkou nepatrných nepříjemností, kdy je nutné telefonem oslovit nebo vygenerovat nové heslo pro konkrétní aplikaci, když je potřebujete.

3
user10211