Token OAuth vs. password specifica per l'applicazione: qualsiasi vantaggio significativo?

Question

Token OAuth vs. password specifica per l'applicazione: qualsiasi vantaggio significativo?

#1 da (1 voti)

3

Credo che questo dovrebbe essere un duplicato, ma non lo vedo da nessuna parte.

La domanda è piuttosto semplice. Quando si dà un client di posta (ad esempio, Thunderbird) l'accesso al tuo e.g. Account Gmail, hai la possibilità di utilizzare una password specifica per l'applicazione o un token OAuth.

Per la vita di me, non capisco il vantaggio del token OAuth:

Entrambi sono usati solo per quella specifica applicazione
Entrambi sono crittograficamente protetti contro il cracking
Entrambi consentono l'accesso completo alle e-mail dell'utente
Entrambi possono essere successivamente revocati dall'utente

D'altra parte, il lato negativo è che è meno universalmente supportato e richiede il salto attraverso più cerchi da configurare.

Quindi perché nel mondo dovrei usare un token OAuth più lungo su una password specifica dell'applicazione più breve? Quali benefici ha? sotto quali scenari di attacco sarò felice di aver usato OAuth?

authentication oauth passwords gmail

posta Mehrdad 18.02.2017 - 21:59

fonte

1 risposta

Leggi altre domande sui tag authentication oauth passwords gmail

Reindirizzare un utente a una pagina trap utilizzando il gemello malvagio Un sostituto della password?

score 1 · Answer 1

L'utilizzo di una password specifica per l'app richiede l'accesso al servizio di destinazione, generando una nuova password specifica per l'app, andando all'app di destinazione (Thunderbird, in questo caso) e inserendo le credenziali.

L'uso di OAuth richiede solo l'apertura di Thunderbird, l'aggiunta del tuo account usando il tuo normale nome utente / password, e poi facendo clic su un pulsante per approvare che OAuth imposti le autorizzazioni per te. Non vedi mai la password / token, non hai nulla da copiare / incollare, ecc. Quindi, è più facile da configurare (di solito), è più sicuro, nel senso che non vedi mai la password / token e nessuno potrebbe guardarti alle spalle per annotarlo come un accesso backdoor (masquerading come qualsiasi app lo hai generato, anche se in realtà non lo è) non c'è nulla che ti impedisca di usare una password specifica per app su più dispositivi contemporaneamente), mentre il token OAuth è letteralmente su base app-per-app (a meno che non sia disinformato).