Account Google: implicazioni dell'utilizzo di password specifiche dell'applicazione

Naviga le tue risposte
29

Sulla scia della recente storia di Mat Honan I ho deciso di provare l'autenticazione a due fattori sul mio account Google. Ma per continuare a utilizzarlo con Exchange, il sistema operativo Android, Google Talk e Google Chrome devi creare password specifiche per le applicazioni.

Riepilogo della procedura

Permettetemi di chiarire alcune cose. Comprendo correttamente le implicazioni di sicurezza delle password specifiche dell'applicazione?

  • Google non disabilita automaticamente le password specifiche delle app quando vengono improvvisamente utilizzate al di fuori del loro contesto previsto (ad esempio per accedere alla posta elettronica anche se è stata configurata per la sincronizzazione di Chrome).
  • Devo generare password aggiuntive che danno accesso immediato al mio account, ignorando completamente l'autenticazione a due fattori. Più alto è il numero di password specifiche dell'applicazione, maggiori sono le probabilità che un attacco di forza bruta abbia successo.
  • Queste password hanno una lunghezza fissa e non contengono numeri o simboli, che li rendono più suscettibili agli attacchi di forza bruta rispetto a una password di lunghezza sconosciuta contenente lettere, numeri e simboli.

Supponendo che voglio continuare a utilizzare funzionalità come l'accesso IMAP (che mi obbligherebbe a creare almeno una password specifica per l'app), sarei migliore o peggiore utilizzando l'autenticazione a due fattori?

    
posta Pieter 12.08.2012 - 16:55
fonte

3 risposte

23

Hai scritto (sottolineatura mia):

The higher the number of application-specific passwords the higher the chances are of a brute force attack succeeding.

These passwords have a fixed length and don't contain numbers or symbols, which make them more susceptible to brute force attacks than a password with unknown length containing letters, numbers and symbols.

Risposta breve: non in alcun modo pratico.

Risposta lunga:

Fai i conti: 16 lettere minuscole permettono 26 ^ 16 password diverse, cioè più di 10 ^ 22 = 10 × 1000 ^ 7 = dieci sextillion possibili password.

Se la password è scelta casualmente con pari probabilità (non abbiamo motivo di credere che non sia il caso), le probabilità di infrangere la password con la forza bruta sono trascurabili , anche se Google non rileva l'attacco e non prende alcuna contromossa.

Anche con 100 password specifiche per l'applicazione per un account Google, nessuno può provare questo attacco. La "suscettibilità" agli attacchi di forza bruta è pari a zero.

Ed è molto più facile su molti smartphone per digitare una password composta solo da lettere minuscole di una combinazione di lettere e lettere maiuscole o minuscole (per lo stesso numero di password possibili) .

Hai anche scritto:

Google does not automatically disable app-specific passwords when they are suddenly used out of their expected context (e.g. to access e-mail even though it was set up for Chrome sync).

Questo è l'unico vero problema di sicurezza qui.

    
risposta data 13.08.2012 - 05:28
fonte
20

NON puoi accedere al tuo account con una password specifica per l'applicazione

Le password specifiche dell'applicazione non possono modificare le impostazioni di sicurezza, accedere solo a email e chat. In questo modo puoi avere la privacy compromessa, ma il tuo account non può essere compromesso.

Ecco cosa succede quando provi ad accedere per modificare le impostazioni dell'account utilizzando una password specifica per l'applicazione:

    
risposta data 16.10.2012 - 07:49
fonte
3

Innanzitutto, l'autenticazione a due fattori protegge chiaramente l'account e-mail principale da attacchi malevoli. Gli aggressori non possono accedere direttamente al tuo account e-mail senza accedere al tuo telefono.

È meglio che non abilitare l'autenticazione a due fattori in quanto esiste un ulteriore livello di protezione.

Che cos'è la password specifica per l'app è una chiara separazione dal tuo account di posta elettronica. Fornisce un modo per le applicazioni di accedere alle informazioni dal tuo account senza dover divulgare la password della tua email.

Come puoi vedere dalle tue immagini, puoi monitorare l'attività della password specifica per l'app. Se qualcosa è fuori dall'ordinario, puoi revocare l'accesso alla password.

Potrebbe essere possibile rafforzare la password, ma ha meno impatto della bruteforcing della password dell'account principale. Il controllo dei danni è più facile da implementare in quanto è possibile revocare le password quando necessario.

L'attivazione dell'autenticazione a due fattori da parte di Google non ha aspetti negativi, tranne il lieve inconveniente di dover raggiungere il tuo telefono o generare una nuova password specifica per l'app quando ti serve.

    
risposta data 12.08.2012 - 17:01
fonte

Leggi altre domande sui tag

Dovrei pubblicare la mia chiave SSH pubblica con user @ hostname alla fine? OAuth2 Cross Site Request Forgery e parametro di stato