it.phhsnews.com


it.phhsnews.com / Attenzione: le "password specifiche per l'applicazione" non sono specifiche per l'applicazione

Attenzione: le "password specifiche per l'applicazione" non sono specifiche per l'applicazione


Le password specifiche per l'applicazione sono più pericolose di quanto suonino. Nonostante il loro nome, sono tutt'altro che specifici dell'applicazione. Ogni password specifica per l'applicazione è più simile a una chiave di scheletro che fornisce accesso illimitato al tuo account.

"Le password specifiche per l'applicazione" sono così nominate per incoraggiare buone pratiche di sicurezza - non è necessario riutilizzarle. Tuttavia, il nome può anche fornire un falso senso di sicurezza a molte persone.

Perché le password specifiche dell'applicazione sono necessarie

CORRELATE: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?

Autenticazione a due fattori - o verifica in due passaggi, o qualunque sia il servizio che la chiama - richiede due cose per accedere al tuo account. Devi prima inserire la tua password, e poi devi inserire un codice monouso generato da un'app per smartphone, inviato via SMS o inviato via email.

Ecco come funziona normalmente quando accedi a un sito Web del servizio o un'applicazione compatibile. Inserisci la tua password e ti viene richiesto il codice one-time. Inserisci il codice e il tuo dispositivo riceve un token OAuth che considera l'applicazione o il browser autenticato, o qualcosa del genere - in realtà non memorizza la password.

CORRELATO: Proteggiti usando la verifica in due passaggi su questi 16 servizi Web

Tuttavia, alcune applicazioni non sono compatibili con questo schema in due passaggi. Ad esempio, supponiamo che desideri utilizzare un client di posta elettronica desktop per accedere alle email di Gmail, Outlook.com o iCloud. Questi client di posta elettronica funzionano richiedendo una password e quindi memorizzano tale password e la utilizzano ogni volta che accedono al server. Non è possibile inserire un codice di verifica in due passaggi in queste vecchie applicazioni.

Per risolvere il problema, Google, Microsoft, Apple e altri provider di account che offrono la verifica in due passaggi offrono anche la possibilità di generare un "application- password specifica. "Quindi inserisci questa password nell'applicazione, ad esempio il client di posta elettronica desktop preferito, e quell'applicazione può connettersi felicemente al tuo account. Problema risolto: le applicazioni che non sarebbero compatibili con l'autenticazione in due passaggi ora funzionano con esso.

Attendi un minuto, cosa è appena successo?

CORRELATO: Come evitare di essere bloccato quando utilizzi due fattori Autenticazione

La maggior parte delle persone probabilmente continuerà sulla sua strada, con la certezza che stanno usando l'autenticazione a due fattori e sono al sicuro. Tuttavia, quella "password specifica per l'applicazione" è in realtà una nuova password che fornisce l'accesso all'intero account, ignorando completamente l'autenticazione a due fattori. Questo è il modo in cui queste password specifiche dell'applicazione consentono alle applicazioni meno recenti che dipendono dalla memorizzazione delle password.

I codici di backup consentono inoltre di bypassare l'autenticazione a due fattori, ma possono essere utilizzati solo una volta. A differenza dei codici di backup, le password specifiche delle applicazioni possono essere utilizzate per sempre o fino alla revoca manuale.

Perché vengono chiamate password specifiche per l'applicazione

Queste sono spesso denominate password specifiche dell'applicazione perché si suppone che si generi uno nuovo per ogni applicazione che usi. Ecco perché Google e altri servizi non ti consentono di visualizzare effettivamente queste password specifiche per le applicazioni dopo averle generate. Sono visualizzati sul sito Web una volta, li inserisci nell'applicazione e quindi idealmente non li vedi mai più. La prossima volta che devi usare questa applicazione, devi solo generare una nuova password per l'app.

Ciò fornisce alcuni vantaggi in termini di sicurezza. Quando hai finito con un'applicazione, puoi utilizzare il pulsante qui per "Revocare" una password specifica per l'applicazione e tale password non concederà più l'accesso al tuo account. Qualsiasi applicazione che usi la vecchia password non funzionerà. La password dell'app nello screenshot qui sotto è stata revocata, ecco perché è sicuro mostrarla.

Le password specifiche per le applicazioni sono sicuramente un grande miglioramento rispetto al non utilizzare affatto l'autenticazione a due fattori. Eliminare le password specifiche per le applicazioni è meglio che assegnare ad ogni applicazione la propria password principale. È più semplice revocare una password specifica per l'app piuttosto che cambiare completamente la password principale.

The Risks

Se hai cinque password specifiche per applicazione generate, ci sono cinque password che possono essere utilizzate per accedere ai tuoi account. I rischi sono chiari:

  • Se la password è compromessa, potrebbe essere utilizzata per accedere al tuo account. Ad esempio, supponiamo tu abbia impostato l'autenticazione a due fattori sul tuo account Google e il tuo computer sia stato infettato da malware. L'autenticazione a due fattori normalmente proteggerebbe il tuo account, ma il malware potrebbe raccogliere password specifiche per l'applicazione archiviate in applicazioni come Thunderbird e Pidgin. Queste password potrebbero quindi essere utilizzate per accedere direttamente al tuo account.
  • Qualcuno con accesso al tuo computer potrebbe generare una password specifica per l'applicazione e quindi tenerla, usarla per entrare nel tuo account senza l'autenticazione a due fattori in futuro . Se qualcuno ti stava guardando mentre avevi generato una password specifica per l'applicazione e hai catturato la tua password, avrebbero avuto accesso al tuo account.
  • Se fornisci una password specifica per un'applicazione a un servizio o un'applicazione e quell'applicazione è dannosa , non hai appena dato una singola applicazione per accedere al tuo account - il proprietario dell'applicazione potrebbe passare la password e altre persone potrebbero usarlo per scopi dannosi.

Alcuni servizi potrebbero tentare di limitare gli accessi web con password specifiche dell'applicazione, ma questo è più di un bandaid. In definitiva, le password specifiche dell'applicazione forniscono accesso illimitato al tuo account in base alla progettazione, e non c'è molto che possa essere fatto per prevenirlo.


Non stiamo cercando di spaventarti troppo, qui. Ma la realtà delle password specifiche dell'applicazione è che non sono specifiche dell'applicazione. Sono un rischio per la sicurezza, quindi dovresti revocare le password specifiche dell'applicazione che non usi più. Fai attenzione a loro e trattali come le password principali del tuo account che sono.


Come usare l'utilità Grab in OS X per le schermate avanzate

Come usare l'utilità Grab in OS X per le schermate avanzate

OS X ha un sacco di utility molto utili racchiuse al suo interno. La cartella Utilità ha uno strumento di screenshot più versatile chiamato Grab, che supera le funzioni di screenshot di OS X predefinite che potresti già utilizzare quotidianamente. CORRELATO: Come acquisire uno screenshot su quasi tutti i dispositivi È facile esegui screenshot su OS X, usa semplicemente "Cmd + Shift + 3" per scatti a schermo intero e "Cmd + Shift + 4" per le selezioni.

(how-to)

Come comprendere le confusioni di file / condivisioni di Windows 7

Come comprendere le confusioni di file / condivisioni di Windows 7

Hai mai provato a capire tutte le autorizzazioni in Windows? Sono disponibili autorizzazioni di condivisione, autorizzazioni NTFS, elenchi di controllo di accesso e altro. Ecco come funzionano tutti insieme. Identificatore di sicurezza I sistemi operativi Windows utilizzano i SID per rappresentare tutti i principi di sicurezza.

(how-to)