it-swarm-eu.dev

Google-Konto: Auswirkungen der Verwendung anwendungsspezifischer Kennwörter

Nach der jüngsten Mat Honan-Geschichte habe ich beschlossen, die Zwei-Faktor-Authentifizierung in meinem Google-Konto auszuprobieren. Um es jedoch weiterhin mit Exchange, dem Betriebssystem Android OS, Google Talk und Google Chrome) zu verwenden, müssen Sie anwendungsspezifische Kennwörter erstellen.

Zusammenfassung der Prozedur

Application-specific passwordsApplication-specific passwords

Lassen Sie mich ein paar Dinge klarstellen. Verstehe ich die Sicherheitsauswirkungen anwendungsspezifischer Kennwörter richtig?

  • Google deaktiviert app-spezifische Kennwörter nicht automatisch, wenn sie plötzlich außerhalb des erwarteten Kontexts verwendet werden (z. B. um auf E-Mails zuzugreifen, obwohl sie für Chrome sync) eingerichtet wurden).
  • Ich muss zusätzliche Kennwörter generieren, die alle sofortigen Zugriff auf mein Konto ermöglichen und die Zwei-Faktor-Authentifizierung vollständig umgehen. Je höher die Anzahl der anwendungsspezifischen Kennwörter ist, desto höher ist die Wahrscheinlichkeit, dass ein Brute-Force-Angriff erfolgreich ist.
  • Diese Passwörter haben eine feste Länge und enthalten keine Zahlen oder Symbole, wodurch sie anfälliger für Brute-Force-Angriffe sind als ein Passwort mit unbekannter Länge, das Buchstaben, Zahlen und Symbole enthält.

Angenommen, ich möchte weiterhin Funktionen wie den IMAP-Zugriff verwenden (der mich zwingen würde, mindestens ein app-spezifisches Kennwort zu erstellen), wäre ich mit der Zwei-Faktor-Authentifizierung besser oder schlechter dran?

31
Pieter

Sie haben geschrieben (Hervorhebung von mir):

Je höher die Anzahl der anwendungsspezifischen Passwörter desto höher ist die Wahrscheinlichkeit, dass ein Brute-Force-Angriff erfolgreich ist.

Diese Passwörter haben eine feste Länge und enthalten keine Zahlen oder Symbole wodurch sie anfälliger für Brute-Force-Angriffe sind als ein Passwort mit unbekannter Länge, das Buchstaben, Zahlen und Symbole enthält.

Kurze Antwort: In keiner praktischen Weise.

Lange Antwort:

Rechnen Sie nach: 16 Kleinbuchstaben erlauben 26 ^ 16 verschiedene Passwörter, das sind mehr als 10 ^ 22 = 10 × 1000 ^ 7 = zehn Sextillionen mögliche Passwörter.

Wenn das Passwort zufällig mit gleichen Wahrscheinlichkeiten ausgewählt wird (wir haben keinen Grund zu der Annahme, dass dies nicht der Fall ist), die Wahrscheinlichkeit, das zu brechen Passwort mit brutaler Gewalt sind vernachlässigbar, auch wenn Google den Angriff nicht bemerkt und keine Gegenmaßnahme ergreift.

Selbst mit 100 anwendungsspezifischen Passwörtern für ein Google-Konto kann niemand diesen Angriff versuchen. Die "Anfälligkeit" für Brute-Force-Angriffe ist Null.

Und es ist auf vielen Smartphones viel einfacher , ein Passwort einzugeben, das nur aus Kleinbuchstaben besteht als eine Kombination aus Buchstaben und Ziffern oder Großbuchstaben ( für die gleiche Anzahl möglicher Passwörter).

Sie haben auch geschrieben:

Google deaktiviert app-spezifische Kennwörter nicht automatisch, wenn sie plötzlich außerhalb des erwarteten Kontexts verwendet werden (z. B. um auf E-Mails zuzugreifen, obwohl sie für Chrome sync) eingerichtet wurden).

Das ist hier das einzige wirkliche Sicherheitsproblem.

23
curiousguy

Sie können sich NICHT mit einem anwendungsspezifischen Passwort in Ihrem Konto anmelden

Anwendungsspezifische Kennwörter können die Sicherheitseinstellungen nicht ändern, sondern nur auf E-Mail und Chat zugreifen. Sie können also Ihre Privatsphäre gefährden, aber Ihr Konto kann nicht entführt werden.

Folgendes passiert, wenn Sie versuchen, sich anzumelden, um Ihre Kontoeinstellungen mit einem anwendungsspezifischen Kennwort zu ändern:

google login

20
Airton Granero

Zunächst schützt die Zwei-Faktor-Authentifizierung Ihr primäres E-Mail-Konto eindeutig vor böswilligen Angriffen. Angreifer können ohne Zugriff auf Ihr Telefon nicht direkt auf Ihr E-Mail-Konto zugreifen.

Dies ist besser, als die Zwei-Faktor-Authentifizierung nicht zu aktivieren, da eine zusätzliche Schutzschicht vorhanden ist.

Das app-spezifische Passwort sorgt für eine klare Trennung von Ihrem E-Mail-Konto. Auf diese Weise können Anwendungen von Ihrem Konto aus auf die Informationen zugreifen, ohne das Kennwort Ihrer E-Mail preisgeben zu müssen.

Wie Sie auf Ihren Bildern sehen können, können Sie die Aktivität des app-spezifischen Passworts überwachen. Wenn etwas ungewöhnlich ist, können Sie den Zugriff auf das Passwort widerrufen.

Möglicherweise ist es möglich, das Kennwort zu erzwingen, dies hat jedoch weniger Auswirkungen als das Erzwingen des Kennworts Ihres Hauptkontos. Die Schadensbegrenzung ist einfacher zu implementieren, da Sie Kennwörter bei Bedarf widerrufen können.

Das Aktivieren der Zwei-Faktor-Authentifizierung durch Google hat keine Nachteile, mit Ausnahme der geringfügigen Unannehmlichkeit, nach Ihrem Telefon greifen zu müssen oder bei Bedarf ein neues app-spezifisches Kennwort zu generieren.

3
user10211