I client senza browser funzionano sull'autenticazione a 2 fattori di Gmail?

3

Se usi un client come mutt per accedere alla tua posta, probabilmente sai che non supporta l'autenticazione a 2 fattori. Richiede ancora solo una password: la password del tuo account o, nel caso di Gmail, la tua password Gmail specifica per l'applicazione.

La mia preoccupazione è che gli aggressori possano aggirare l'autenticazione a 2 fattori di Gmail effettuando l'accesso tramite un client come mutt. Mentre possiamo impostare password specifiche per le applicazioni, non possiamo farlo per ogni singolo client esistente, giusto? E sì, se qualcuno ha la propria password, il gioco è già finito; ma il fattore 2 dovrebbe essere una linea di difesa aggiuntiva, e questo sembra minare quella difesa aggiuntiva.

Questa è una vera minaccia? Qual è il modo consigliato di affrontarlo?

    
posta user52388 21.07.2014 - 15:27
fonte

1 risposta

4

Le password specifiche dell'applicazione sono l'unica soluzione attualmente fornita per le applicazioni che non supportano l'autenticazione a due fattori su Google. Ciò aggira efficacemente l'autenticazione a due fattori, ma solo fino ad un certo punto.

Ovviamente, il rischio principale è che una password specifica dell'applicazione compromessa possa essere utilizzata per accedere al tuo account senza richiedere un secondo fattore per l'autenticazione. Google fornisce una certa dose di mitigazione a questo rischio rendendo le password molto più forti rispetto alla tipica password generata dall'utente e anche visualizzando una volta una determinata password specifica per l'app.

Dovresti anche mitigarlo assicurando la sicurezza dell'ambiente in cui la password specifica per l'app viene visualizzata e archiviata, usando una volta una password specifica per l'app, e non copi mai una password specifica per l'app in nessuna posizione tranne che nel campo password per l'applicazione che ne ha bisogno. Inoltre, come sempre, non utilizzare l'applicazione su reti di cui non ti fidi.

Dovresti inoltre sfruttare i meccanismi che Google fornisce per la gestione e il monitoraggio delle password specifiche delle app. In particolare:

  • Google ti avvisa quando viene creata una nuova password specifica per l'app. Prestare attenzione a questi.
  • È possibile creare nomi personalizzati per password specifiche dell'app. Dai loro nomi che hanno senso per te.
    • In "Seleziona app" o "Seleziona dispositivo" scegli "Altro (nome personalizzato)".
  • Puoi vedere quando è stata l'ultima volta che è stata utilizzata una password specifica per l'app. Per le applicazioni che effettuano costantemente il check-in, questa informazione potrebbe non essere molto utile. Tuttavia, se ti capita di sapere che un dispositivo è offline da un po 'e vedi un uso recente, questo può comunque essere un indicatore di problemi.
  • Puoi e dovresti revocare le password specifiche delle app che non sono più in uso o che mostrano segni di abuso.

Alla fine, la creazione di una password specifica per l'applicazione in modo efficace richiede che si accetti il rischio di consentire a quell'applicazione di disporre delle autorizzazioni per il proprio account senza un secondo fattore di autenticazione.

    
risposta data 21.07.2014 - 16:33
fonte

Leggi altre domande sui tag