Anwendungsspezifische Kennwörter und Authentifizierung in zwei Schritten

1413
Paul Podlipensky

Soweit ich festgestellt habe, könnten die anwendungsspezifischen Passwörter von Google verwendet werden, um beispielsweise auf Google Mail zuzugreifen, jedoch von einem anderen E-Mail-Client (nicht über das Web-UI). Also, was ist der Punkt, um sie dann zu verwenden?

Schützt Googles Authentifizierung in zwei Schritten vor dem Diebstahl von Cookies? Ich meine, wenn jemand meine Google-Cookies stiehlt, kann er sich dann bei meinem Google-Konto anmelden?

0

2 Antworten auf die Frage

2
Michael Baltaks

Der Punkt ist, dass es ein zusätzliches Limit für den Zugriff eines Angreifers auferlegt. Wenn beispielsweise ein Dienst oder eine App eines Drittanbieters, der auf Ihr Google-Konto zugreift, kompromittiert wird und Ihr Passwort (!) Verschenkt wird, können Sie dieses Passwort einfach widerrufen, ohne dass andere Apps oder Services, die Ihr Konto verwenden, betroffen sind.

Selbst wenn jemand Zugriff auf Ihr Konto erhalten würde, hätte er nur höchstens 30 Tage Zugriff, und dann würde er den Zugriff verlieren, was besser ist als der unbegrenzte Zugriff, über den Sie noch nicht einmal Bescheid wissen.

Aber kann der Angreifer mein Passwort für ein Google-Konto mithilfe eines anwendungsspezifischen Passworts ändern? Paul Podlipensky vor 12 Jahren 1
Ich habe gerade versucht, ein App-Passwort zu verwenden, um mein Kontopasswort zu ändern. Es wurde der Fehler "Passwort ist falsch" angezeigt. OrangeBox vor 12 Jahren 0
1
OrangeBox

A good explanation from another site:

The idea behind app-specific password is enabling 2-factor authentication for protocols that don’t support 2-step authentication, like POP or IMAP.

If I get to know your primary password, I cannot access your account from the browser (because I won’t have the verification code) as well as from a client like Outlook (because they won’t accept your primary password).

App-specific passwords are applicable only to thick clients that require you to give your password to. You cannot use app-specific passwords in the browser. This means that if I get access to one of your app-specific passwords, I cannot log into your Blogger account or change your Gmail filters. Indeed, I can read your mail and impersonate you on chat. But I cannot, for example, lock you out of your account.

Source

Nun, ich konnte mein Web-E-Mail-Konto durch Klicken auf "Mail-Zeichen" (rotes kleines Symbol) am unteren Rand von GTalk sehen und dann auf mein Google-Konto zugreifen, obwohl mein GTalk ein app-spezifisches Passwort verwendet. Paul Podlipensky vor 12 Jahren 1
Ah ja, das stimmt, aber Sie sollten trotzdem nicht in der Lage sein, ohne Konto in den Kontenverwaltungsbereich zu gelangen. Ein Angreifer kann dennoch ein app-spezifisches Kennwort verwenden, um auf Ihre E-Mail über IMAP zuzugreifen (praktisch wie beim Zugriff auf die Webschnittstelle, aber er kann Ihr Kennwort niemals ändern). OrangeBox vor 12 Jahren 0
Bedeutet das, dass das app-spezifische Passwort wiederverwendet werden kann? Kann ich beispielsweise dasselbe Kennwort für Thunderbird zu Hause und Thunderbird bei der Arbeit verwenden? Tuan Anh Hoang-Vu vor 12 Jahren 0
Ja, soweit ich weiß, können Sie (wenn Sie wollten) ein app-spezifisches Passwort für alle Ihre Anwendungen verwenden. Es würde nur bedeuten, dass Sie das Kennwort für die zukünftige Verwendung speichern müssen - obwohl ich es nicht empfehlen würde. Die Idee ist, dass durch die Verwendung von mehreren Sie das Kennwort bzw. die Kennwörter für jedes Gerät / jede Anwendung widerrufen können. OrangeBox vor 12 Jahren 2
Leider konnte ich mein Passwort mithilfe eines solchen Zugriffs ändern. Sieht aus, als würde GTalk Ihre E-Mail-Adresse im Browser auf eine andere Weise anzeigen, dh, Sie erhalten vollen Zugriff, auch wenn GTalk ursprünglich mit einem app-spezifischen Passwort angemeldet war . Sieht aus wie ein Sicherheitsproblem für mich. Paul Podlipensky vor 12 Jahren 3
Ich wusste nicht, dass dies der Fall war !! Ich hatte den Eindruck, dass Sie zur Eingabe Ihres alten Passworts aufgefordert wurden, bevor Sie es ändern konnten: s OrangeBox vor 12 Jahren 0
Die Informationen, die Sie in Ihrer Antwort zitiert haben, sind also falsch. Sollten Sie sie nicht aktualisieren? UpTheCreek vor 12 Jahren 0
Eigentlich werden Sie ** nach Ihrem Passwort gefragt, bevor Sie es ändern können, und Sie können ein App-spezifisches Passwort im Feld 'Aktuelles Passwort' nicht verwenden. Sie können nur Ihr Kontopasswort verwenden. Ja, Sie können über Programme mit App-Kennwörtern wie Google Notifier oder Talk auf das WebUI zugreifen, aber jemand kann Ihr Kennwort nicht ändern, ohne Ihr ursprüngliches Kennwort zu kennen. OrangeBox vor 12 Jahren 1