it-swarm-vi.com

Tài khoản Google: ý nghĩa của việc sử dụng mật khẩu dành riêng cho ứng dụng

Trước sự kiện gần đây câu chuyện Mat Honan Tôi quyết định thử xác thực hai yếu tố trên tài khoản Google của mình. Nhưng để tiếp tục sử dụng nó với Exchange, Android OS, Google Talk và Google Chrome bạn phải tạo mật khẩu dành riêng cho ứng dụng.

Tóm tắt quy trình

Application-specific passwordsApplication-specific passwords

Hãy để tôi có được một vài điều thẳng. Tôi có hiểu chính xác ý nghĩa bảo mật của mật khẩu dành riêng cho ứng dụng không?

  • Google không tự động vô hiệu hóa mật khẩu dành riêng cho ứng dụng khi chúng đột nhiên được sử dụng ngoài ngữ cảnh dự kiến ​​của chúng (ví dụ: để truy cập email ngay cả khi nó được thiết lập cho Chrome).
  • Tôi phải tạo thêm mật khẩu mà tất cả đều cấp quyền truy cập ngay vào tài khoản của tôi, bỏ qua hoàn toàn xác thực hai yếu tố. Số lượng mật khẩu dành riêng cho ứng dụng càng cao thì khả năng thành công của một cuộc tấn công vũ phu càng cao.
  • Các mật khẩu này có độ dài cố định và không chứa số hoặc ký hiệu, khiến chúng dễ bị tấn công bằng vũ lực hơn mật khẩu có độ dài không xác định có chứa chữ cái, số và ký hiệu.

Giả sử rằng tôi muốn tiếp tục sử dụng các tính năng như truy cập IMAP (điều này sẽ buộc tôi tạo ít nhất một mật khẩu dành riêng cho ứng dụng), tôi sẽ tốt hơn hay xấu hơn khi sử dụng xác thực hai yếu tố?

31
Pieter

Bạn đã viết (nhấn mạnh của tôi):

Số lượng mật khẩu dành riêng cho ứng dụng càng cao khả năng thành công của một cuộc tấn công vũ phu càng cao.

Các mật khẩu này có độ dài cố định và không chứa số hoặc ký hiệu, khiến chúng dễ bị tấn công bằng vũ lực hơn mật khẩu có độ dài không xác định có chứa chữ cái, số và ký hiệ.

Câu trả lời ngắn gọn: Không theo bất kỳ cách thực tế nào.

Câu trả lời dài:

Làm toán: 16 chữ cái viết thường cho phép 26 ^ 16 mật khẩu khác nhau, tức là hơn 10 ^ 22 = 10 × 1000 ^ 7 = mười sextillion mật khẩu có thể.

Nếu mật khẩu được chọn ngẫu nhiên với xác suất bằng nhau (chúng tôi không có lý do gì để tin rằng đó không phải là trường hợp), tỷ lệ phá vỡ mật khẩu bằng vũ lực là không đáng kể, ngay cả khi Google không nhận thấy cuộc tấn công và không thực hiện bất kỳ biện pháp truy cập nào.

Ngay cả với 100 mật khẩu dành riêng cho ứng dụng cho một tài khoản Google, không có cách nào để mọi người thử cuộc tấn công này. "Tính nhạy cảm" đối với các cuộc tấn công vũ phu là bằng không.

Và nó dễ dàng hơn nhiều trên nhiều điện thoại thông minh để nhập mật khẩu chỉ bằng chữ in thường so với kết hợp các chữ cái và chữ số hoặc chữ cái hỗn hợp ( cho cùng một số mật khẩu có thể).

Bạn cũng đã viết:

Google không tự động vô hiệu hóa mật khẩu dành riêng cho ứng dụng khi chúng đột nhiên được sử dụng ngoài ngữ cảnh dự kiến ​​của chúng (ví dụ: để truy cập email ngay cả khi nó được thiết lập cho Chrome).

Đó là vấn đề bảo mật thực sự duy nhất ở đây.

23
curiousguy

Bạn KHÔNG thể đăng nhập vào tài khoản của mình bằng mật khẩu dành riêng cho ứng dụng

Mật khẩu dành riêng cho ứng dụng không thể thay đổi cài đặt bảo mật, chỉ truy cập email và trò chuyện. Vì vậy, bạn có thể khiến bạn bị xâm phạm quyền riêng tư, nhưng tài khoản của bạn không thể bị xâm nhập.

Dưới đây là những gì xảy ra khi bạn thử và đăng nhập để thay đổi cài đặt tài khoản của mình bằng mật khẩu dành riêng cho ứng dụng:

google login

20
Airton Granero

Trước hết, xác thực hai yếu tố bảo vệ rõ ràng tài khoản email chính của bạn khỏi các cuộc tấn công độc hại. Kẻ tấn công không thể truy cập trực tiếp vào tài khoản email của bạn mà không truy cập vào điện thoại của bạn.

Điều này tốt hơn là không cho phép xác thực hai yếu tố vì có thêm một lớp bảo vệ.

Những gì mật khẩu dành riêng cho ứng dụng làm là cung cấp một sự tách biệt rõ ràng khỏi tài khoản email của bạn. Nó đưa ra một cách để các ứng dụng truy cập thông tin từ tài khoản của bạn mà không phải tiết lộ mật khẩu email của bạn.

Như bạn có thể thấy từ hình ảnh của mình, bạn có thể theo dõi hoạt động của mật khẩu dành riêng cho ứng dụng. Nếu bất cứ điều gì khác thường, bạn có thể thu hồi quyền truy cập của mật khẩu.

Có thể có thể đánh cắp mật khẩu, nhưng nó có tác động ít hơn so với việc xác nhận lại mật khẩu tài khoản chính của bạn. Kiểm soát thiệt hại dễ thực hiện hơn vì bạn có thể thu hồi mật khẩu khi cần.

Việc xác thực hai yếu tố của Google không có nhược điểm nào, ngoại trừ sự bất tiện nhỏ khi phải liên hệ với điện thoại của bạn hoặc tạo mật khẩu dành riêng cho ứng dụng mới khi bạn cần.

3
user10211