Quali sono i pericoli di consentire alle "app meno sicure" di accedere al mio account Google?

71

In base al link :

Google may block sign in attempts from some apps or devices that do not use modern security standards. Since these apps and devices are easier to break into, blocking them helps keep your account safer.

Quali sono questi "moderni standard di sicurezza" e perché è pericoloso autorizzare le app che non li supportano? Inoltre, è pericoloso abilitare l'opzione (consentire app meno sicure) se non si utilizzano tali app? Se sì, perché?

Credo che potrebbe essere OAuth2.0 su IMAP (in base a questa pagina ). Per quanto ne so, questa è l'estensione di Google e non è utilizzata da nessun altro fornitore di servizi.

Nel mio caso specifico stavo cercando di accedere al mio account Gmail usando Kmail (v4.14.0) e IMAP.

    
posta Hjulle 24.08.2014 - 04:21
fonte

3 risposte

47

A mio avviso, "app meno sicure" si riferisce alle applicazioni che inviano le tue credenziali direttamente a Gmail. Molte cose possono andare storte quando si consegnano le proprie credenziali a terzi per conferire all'autorità di autenticazione: la terza parte potrebbe conservare le credenziali in memoria senza dirlo, potrebbero usare le proprie credenziali per scopi al di fuori dell'ambito dichiarato dell'applicazione, potrebbe inviare le tue credenziali su una rete senza crittografia, ecc.

Inoltre, potrebbe essere un'app che un utente ha installato localmente come un client IMAP (vedere le seguenti note di supporto da google: link )

"Meno sicuro" non intende dire che le app che utilizzano le tue credenziali sono necessariamente piene di falle nella sicurezza o gestite da criminali. Piuttosto, è la categoria di comportamento - che fornisce le tue credenziali a terzi - cioè fondamentalmente meno sicuri rispetto all'utilizzo di un meccanismo di autorizzazione come OAuth. Con l'autorizzazione, non permetti mai alla terza parte di vedere le tue credenziali, quindi un'intera categoria di problemi viene immediatamente eliminata.

In OAuth, ti autentichi direttamente in Gmail con le tue credenziali e autorizzi un'applicazione a fare certe cose. L'app di terze parti vede solo un token di autorizzazione fornito da Google come prova dell'autenticità dell'autenticità e ha accettato di autorizzare tale app.

Per quanto riguarda il motivo per cui sarebbe pericoloso per abilitare app meno sicure (rispetto a utilizzare una particolare app che potrebbe non essere attendibile), non ne sono del tutto sicuro. Il rifiuto di Google di effettuare l'autenticazione avviene dopo che hai già fornito le tue credenziali all'applicazione. Mi sembra che ogni volta che fornite le vostre credenziali a una terza parte, non importa se avete autorizzato o meno l'autenticazione con "app meno sicure" - qualcuno può semplicemente caricare una schermata di accesso e accedere direttamente dentro come te. Gli unici casi possibili a cui riesco a pensare sono:

  • Probabilmente i tentativi di accesso "basati su app" sono trattati in modo diverso dai tentativi di accesso "basati su umani", in particolare come trattano i cambiamenti improvvisi nella posizione. Forse l'app "meno sicura" che stai cercando di utilizzare ha server in un altro continente, quindi non è sospetto a Gmail quando un'app tenta di accedere come da qualche altra parte, mentre un tentativo di utilizzare lo schermo di accesso da un altro continente un essere umano sarebbe sospettoso.

  • Forse i metodi di autenticazione "meno sicuri" includono altri metodi di accesso che non rivelano direttamente le tue credenziali a terze parti ma sono meno sicuri di OAuth 2.0 in altri modi (ad es. sono vulnerabili a intercettazioni da parte di un aggressore o rendono in qualche modo più facile per un utente malintenzionato accedere al tuo account senza conoscere la tua password).

Questi due punti sono pura congettura e molto bene potrebbe non essere vero in realtà.

    
risposta data 05.11.2014 - 18:19
fonte
5

Non ho abbastanza reputazione per commentare, ma voglio aggiungere la mia esperienza su quando ho "trovato" il problema ...

Stavo creando un nuovo client di posta elettronica Airmail 2.0 per utilizzare il server SMTP di Google per inviare posta per conto su un account Gmail.

Ora, la mia configurazione potrebbe non essere troppo " comune ": ho questo specifico indirizzo Gmail inoltrato a un indirizzo diverso, che è quello che sto usando da Airmail, e sto impostando l'indirizzo Gmail come "alias" di quell'account. Probabilmente per evitare di sembrare spam, Airmail consente di configurare un server SMTP specifico da utilizzare quando si invia " da " un alias.

Ho un altro account Gmail configurato su Airmail senza alcuna configurazione o reindirizzamento "funky" e che funziona correttamente (nessun messaggio su "sicurezza ridotta", ad esempio). Quindi ho copiato le impostazioni SMTP dall'account "normale" a quello nuovo:

Queste sono le impostazioni per l'account "classico":

EquestisonoquelliperilserverSMTP"alias":

Hainotatoeventualidifferenze?Nemmenoio!!

Hodatoun'occhiataingiroehotrovatoanchelapaginamenzionatainprecedenza,l'articolosullasicurezzadiGoogle Le nuove misure di sicurezza influenzeranno le vecchie applicazioni (non OAuth 2.0) dove viene annunciato il cambiamento - questo paragrafo (sottolineatura mia!) sembra implicare che le app dovranno essere" autorizzato "ad accedere all'account in modo simile a quanto fanno molti altri" client di app "(Dropbox, ecc.):

That's why, beginning in the second half of 2014, we'll start gradually increasing the security checks performed when users log in to Google. These additional checks will ensure that only the intended user has access to their account, whether through a browser, device or application. These changes will affect any application that sends a username and/or password to Google.

Non sono contrario all'idea, di per sé, ma apprezzerei avere maggiori informazioni su ciò che le app devono fare per essere considerati sicuri in modo che possiamo chiedere ai nostri fornitori di app di implementare le modifiche necessarie ...

Maggiori informazioni sull'argomento qui: GMail inizia a bloccare le app meno sicure: come abilitare nuovamente l'accesso .

Ciò che è più sconcertante è che il mio "altro" account Gmail non attiva questo tipo di messaggi, in quanto non ho attivato 2FA, quindi secondo l'articolo precedente avrei dovuto ottenere alcuni di quegli errori!

AGGIORNATO 2014-12-31, 17:52 GMT : per curiosità, ho controllato le impostazioni del mio vecchio account Gmail e ho visto che è effettivamente impostato su "meno" sicurezza "(come lo chiama Google). Immagino che quando Google ha introdotto la funzione, l'impostazione predefinita per gli account esistenti ai quali si accede dai client " meno sicuri " (come per i termini di Google), è quella di consentire loro di continuare ad accedere.

D'altra parte, come dicono alcuni commenti sul post originale di Google, è bello che Google si preoccupi della nostra sicurezza, ma avrebbe potuto iniziare supportando cose come CRAM-MD5 o DIGEST-MD5 per l'autenticazione invece di semplicemente LOGIN.

    
risposta data 31.12.2014 - 17:38
fonte
0

Le persone utilizzano app mobili che non intraprendono azioni adeguate per proteggere le credenziali degli utenti di GMail. Quindi Google sta prendendo l'unica cosa che può fare: mettere fine agli hacker dannosi proibendo alle app di lanciare utenti e password e forzare l'uso di un metodo di autenticazione che si fida (proprio!).

Il problema con queste app non è uno, ma è vario: alcuni non usano ssl / tls per la crittografia dei dati, altri consentono agli hacker di mediare la comunicazione, ecc.

In questo modo, consentono agli aggressori di acquisire le credenziali di GMail dell'utente, portando a compromessi con gli account.

Quindi Google è passato da un'autenticazione a un metodo di autorizzazione, qualcosa che assomiglia a quello che usa GitHub.

    
risposta data 05.11.2014 - 15:57
fonte

Leggi altre domande sui tag