it-swarm-tr.com

Google Hesabı: uygulamaya özel şifre kullanmanın etkileri

Son zamanlarda Mat Honan hikayesi Google hesabımda iki faktörlü kimlik doğrulamayı denemeye karar verdim. Ancak Exchange ile kullanmaya devam etmek için Android OS, Google Talk ve Google Chrome) uygulamaya özel şifreler oluşturmanız gerekir.

Prosedürün özeti

Application-specific passwordsApplication-specific passwords

Düzgün bir kaç şey elde edeyim. Uygulamaya özel şifrelerin güvenlik üzerindeki etkilerini doğru anladım mı?

  • Google, beklenmedik bağlamlarından aniden kullanıldıklarında uygulamaya özel şifreleri otomatik olarak devre dışı bırakmaz (örneğin, Chrome senkronizasyon) için ayarlanmış olsa bile e-postaya erişmek için).
  • İki faktörlü kimlik doğrulamayı tamamen atlayarak, hesabıma anında erişim sağlayan ek şifreler oluşturmam gerekiyor. Uygulamaya özel şifre sayısı arttıkça, kaba kuvvet saldırısının başarılı olma şansı da artar.
  • Bu parolalar sabit bir uzunluğa sahiptir ve sayıları veya simgeleri içermez; bu da onları kaba kuvvet saldırılarına karşı harfleri, sayıları ve simgeleri içeren bilinmeyen bir paroladan daha duyarlı hale getirir.

IMAP erişimi gibi özellikleri kullanmaya devam etmek istediğimi varsayarsak (bu, beni en az bir uygulamaya özel şifre yapmaya zorlar), iki faktörlü kimlik doğrulamayı kullanarak daha iyi veya daha kötü olur muyum?

31
Pieter

Sen yazdın (vurgu benim):

Uygulamaya özel şifre sayısı ne kadar yüksekse başarılı bir kaba kuvvet saldırısı şansı o kadar yüksek olur.

Bu parolalar sabit bir uzunluğa sahiptir ve sayılar veya simgeler içermez, bu, onları kaba kuvvet saldırılarına, harfleri, sayıları ve simgeleri içeren bilinmeyen bir parolaya göre daha duyarlı hale getirir.

Kısa cevap: Hiçbir şekilde pratik değil.

Uzun cevap:

Matematiği yapın: 16 küçük harf 26 ^ 16 farklı şifreye izin verir, bu da 10 ^ 22 = 10 × 1000 ^ 7 = on sextillion olası şifreden fazladır.

Parola rasgele seçildiğinde eşit olasılıklarla (durumun böyle olmadığına inanmak için bir nedenimiz yok), kaba kuvvetle şifre ihmal edilebilir, Google saldırıyı fark etmese ve herhangi bir karşı önlem almasa bile.

Bir Google hesabı için 100 uygulamaya özel şifreyle bile, kimsenin bu saldırıyı denemesinin bir yolu yoktur. Kaba kuvvet saldırılarına karşı "duyarlılık" sıfırdır.

Ve birçok akıllı telefonda harf ve rakam veya karma harf kombinasyonundan çok küçük harflerden oluşan bir şifre yazmak çok daha kolaydır (- === -). aynı sayıda olası şifre için).

Ayrıca şunu da yazdınız:

Google, beklenmedik bağlamlarından aniden kullanıldıklarında uygulamaya özel şifreleri otomatik olarak devre dışı bırakmaz (örneğin, Chrome senkronizasyon) için ayarlanmış olsa bile e-postaya erişmek için).

Buradaki tek gerçek güvenlik sorunu bu.

23
curiousguy

Hesabınıza uygulamaya özel bir şifre ile oturum açamazsınız

Uygulamaya özel şifreler güvenlik ayarlarını değiştiremez, sadece e-postaya ve sohbete erişir. Böylece gizliliğinizin tehlikeye atılmasını sağlayabilirsiniz, ancak hesabınız ele geçirilemez.

Uygulamaya özel bir şifre kullanarak hesap ayarlarınızı değiştirmeye çalıştığınızda giriş yaptığınızda şunlar olur:

google login

20
Airton Granero

Her şeyden önce, iki faktörlü kimlik doğrulama birincil e-posta hesabınızı kötü niyetli saldırılara karşı açık bir şekilde korur. Saldırganlar, telefonunuza erişmeden e-posta hesabınıza doğrudan erişemez.

Ek bir koruma katmanı olduğundan, iki faktörlü kimlik doğrulamayı etkinleştirmekten daha iyidir.

Uygulamaya özel şifrenin yaptığı şey, e-posta hesabınızdan net bir şekilde ayrılmaktır. Uygulamaların, e-postanızın şifresini açıklamak zorunda kalmadan hesabınızdan bilgilere erişmesi için bir yol sağlar.

Resimlerinizden de görebileceğiniz gibi, uygulamaya özel şifrenin etkinliğini izleyebilirsiniz. Sıra dışı bir şey varsa, şifrenin erişimini iptal edebilirsiniz.

Parolayı bruteforce etmek mümkün olabilir, ancak ana hesap parolanızı bruteforcing'den daha az etkisi vardır. Gerektiğinde şifreleri iptal edebileceğiniz için hasar kontrolünün uygulanması daha kolaydır.

Google tarafından iki faktörlü kimlik doğrulamanın etkinleştirilmesinin, telefonunuza ulaşmak zorunda kalmanızın veya ihtiyaç duyduğunuzda uygulamaya özel yeni bir şifre oluşturmanın hafifçe rahatsızlığı dışında bir dezavantajı yoktur.

3
user10211