"Паролите за конкретни приложения" са наречени така, че да насърчават добри практики за сигурност - не трябва да ги използвате повторно. Името обаче може да даде и фалшиво чувство за сигурност на много хора.
Защо са необходими специфични за приложението пароли
Двуфакторното удостоверяване - или потвърждаването в две стъпки или каквото се нарича услуга - изисква две неща, за да влезете в профила си. Първо трябва да въведете паролата си и след това трябва да въведете код за еднократна употреба, генериран от приложение за смартфон, изпратен чрез SMS или изпратен по имейл.
По този начин нормално работи, когато влезете в уебсайт на услугата или в съвместимо приложение. Въвеждате паролата си и след това ще получите подкана за еднократния код. Въвеждате кода и устройството ви получава означение OAuth, което счита приложението или браузъра за автентирани или нещо подобно - всъщност не съхранява паролата.
За да поправите това, Google, Microsoft, Apple и различни други доставчици на акаунти, които предлагат потвърждаване в две стъпки, също предлагат възможността да генерират парола за конкретно приложение. След това въведете тази парола в приложението - например вашия имейл на работния плот клиент по избор - и това приложение може щастливо да се свърже с профила ви. Разрешен проблем - приложения, които не биха били съвместими с удостоверяване в две стъпки, сега работят с него.
Чакай малко, какво само се е случило?
Повечето хора вероятно ще продължат по пътя си, сигурни в знанието, че използват двуфакторна удостоверяване и са безопасни. Но тази "парола за конкретно приложение" е всъщност нова парола, която осигурява достъп до целия Ви профил, като изцяло заобикаля двуфакторното удостоверяване. По този начин паролите за конкретни приложения позволяват по-стари приложения, които зависят от това, да запомнят паролите да функционират.
Архивните кодове също ви позволяват да заобиколите двуфакторното удостоверяване, но те могат да се използват само веднъж. За разлика от резервните кодове, паролите за конкретни приложения могат да се използват завинаги - или докато ръчно ги отмените.
Защо те се наричат специфични за приложенията пароли
Те често се наричат пароли за конкретни приложения, защото трябва да генерирате нова за всяко приложение, което използвате. Ето защо Google и други услуги не ви позволяват действително да преглеждате тези пароли за конкретно приложение, след като ги генерирате. Те се показват на уебсайта веднъж, въвеждате ги в приложението и в идеалния случай те никога повече няма да ги видите. Следващият път, когато трябва да използвате такова приложение, трябва само да генерирате нова парола за приложение.
Това осигурява някои предимства на сигурността. Когато приключите с дадено приложение, можете да използвате бутона тук, за да "отмените" паролата за конкретно приложение и тази парола вече няма да дава достъп до профила ви. Всички приложения, използващи старата парола, няма да работят. Паролата за приложението в екранната снимка по-долу бе оттеглена, затова е безопасно да я покажете.
Паролите, специфични за приложенията, със сигурност са голямо подобрение, ако изобщо не използва двуфакторна идентификация. Отдаването на пароли за конкретни приложения е по-добре, отколкото да дадете на всяко приложение основната си парола. По-лесно е да отмените парола за конкретно приложение, отколкото да промените изцяло основната си парола.
Рисковете
Ако имате генерирани пет специфични за приложението пароли, има пет парола, които могат да се използват за достъп до вашите профили. Рисковете са ясни:
- Ако паролата е компрометирана, тя може да се използва за достъп до профила ви. Да приемем, например, че сте настроили двуфакторна идентификация в профила си в Google и компютърът ви е заразен от злонамерен софтуер. Двуфакторното удостоверяване обикновено защитава профила ви, но зловредният софтуер може да събира пароли за конкретни приложения, съхранявани в приложения като Thunderbird и Pidgin. Тези пароли могат да бъдат използвани за директен достъп до профила ви.
- Някой с достъп до компютъра ви може да генерира парола за конкретно приложение и след това да го задържи, като го използва, за да влезе в профила ви без двуфакторно удостоверяване в бъдеще. Ако някой погледне през рамо, докато генерирате парола за конкретно приложение и запишете паролата си, той ще има достъп до профила ви.
- Ако предоставите парола за конкретна за приложението или приложението и това приложение е злонамерено, не сте дали само достъп до приложението си в него - собственикът на приложението може да предаде паролата и други хора да го използват за злонамерени цели,
Някои услуги може да се опитат да ограничат влизанията в мрежата с пароли за конкретни приложения, но това е по-скоро "бандаид". В крайна сметка паролите за конкретни приложения осигуряват неограничен достъп до профила ви по проект и няма какво да се направи, за да се предотврати това.
Не се опитваме да те плашим много, тук. Но реалността на паролите за конкретно приложение е, че те не са специфични за приложението. Те представляват риск за сигурността, така че трябва да оттеглите паролите за конкретни приложения, които вече не използвате. Бъдете внимателни с тях и ги третирайте като главните пароли в профила си, така че те са.