Google sta salvando le password di testo in chiaro? [chiuso]

I dettagli su come Google ha implementato questa funzionalità sono sconosciuti e di proprietà di Google, quindi non è possibile rispondere completamente alla tua domanda. Tuttavia, ecco i punti salienti:

• Google dovrà salvare la password dell'account POP3 nel proprio sistema. Non c'è modo di aggirare questo perché POP3 non ha alcun modo standard per delegare i diritti a un server di terze parti. Speculativo: Google probabilmente mantiene questa copia della tua password crittografata in modo reversibile nel loro database. Baso questa speculazione sulla storia aziendale di porre molta enfasi sulla sicurezza.
• I server di Google, infatti, contattano periodicamente il tuo server POP3 e scaricano nuovi messaggi da lì. Se hai selezionato l'opzione "Usa sempre una connessione sicura (SSL) quando recuperi la posta", lo farà su un canale sicuro.
• La sicurezza del sistema dipende dal contesto. Stai mettendo le tue credenziali dell'account POP3 nelle mani di Google. A causa della natura di tali informazioni, potrebbe potenzialmente essere citato in giudizio dall'autorità, rubato da un dipendente o altrimenti trapelato. Dato il track record di Google nella sicurezza, la divulgazione incontrollata sembra improbabile ma sicuramente non impossibile. D'altra parte, utilizzando questa funzionalità, hai già fiducia in Google con il contenuto della tua email e con la capacità di impersonarti. Si può sostenere che, a meno che le credenziali che hai distribuito non permettano l'accesso ad altre risorse e supponendo che tu stia forzando l'uso di TLS per il controllo della password, non stai estendendo la fiducia di molto con la password dell'account reale.

La risposta alla domanda non può essere fornita da nessuno che non sia Google. Potresti chiedere a loro ma dubito che ti daranno una risposta. L'unica cosa che possiamo sapere con certezza è che le password non sono hash, perché se fossero allora google non sarebbe in grado di impersonare te sul server di posta. Quindi google sta memorizzando le password senza fare riferimento al fatto che potrebbero essere archiviate come testo normale nel db o potrebbero essere crittografate nel db ma anche se crittografate il server è in grado di decrittografarlo. Un utente malintenzionato sul server potrebbe compromettere le credenziali anche se crittografato.

A seconda di ciò che l'account di posta elettronica viene utilizzato per questo potrebbe non essere un problema. Probabilmente non dovresti usare quell'account per informazioni confidenziali o sicure (generalmente non dovresti usare l'e-mail per quel periodo) a meno che le informazioni non siano crittografate prima dell'email (cioè GPG).

La password deve essere trasmessa in formato testo, altrimenti Google non può inviare richieste al server di posta di terze parti poiché questo server di posta elettronica si aspetta che la password sia in testo semplice.

Is this safe?

No, non lo è!

Nota: Anche l'utilizzo di POP3 per recuperare la posta elettronica non è considerato sicuro in quanto non esiste una protezione del livello di trasporto. Si consiglia di utilizzare solo protocolli con protezione del livello di trasporto con forti codici di crittografia.

POP3 s sarebbe un modo migliore per recuperare la tua e-mail, anche se dubito che ci sia un'opzione nella configurazione di GMail per questo.