it-swarm-id.com

Akun Google: implikasi menggunakan kata sandi khusus aplikasi

Setelah berita terbaru Mat Honan story Saya memutuskan untuk mencoba otentikasi dua faktor di akun Google saya. Tetapi untuk tetap menggunakannya dengan Exchange, Android OS, Google Talk dan Google Chrome Anda harus membuat kata sandi khusus aplikasi.

Ringkasan prosedur

Application-specific passwordsApplication-specific passwords

Biarkan saya meluruskan beberapa hal. Apakah saya memahami implikasi keamanan kata sandi khusus aplikasi dengan benar?

  • Google tidak secara otomatis menonaktifkan kata sandi khusus aplikasi ketika tiba-tiba digunakan di luar konteks yang diharapkan (mis. Untuk mengakses email meskipun telah diatur untuk Chrome sinkronisasi).
  • Saya harus membuat kata sandi tambahan yang semuanya memberikan akses langsung ke akun saya, melewati otentikasi dua faktor sepenuhnya. Semakin tinggi jumlah kata sandi khusus aplikasi, semakin tinggi pula kemungkinan serangan brute force.
  • Kata sandi ini memiliki panjang yang tetap dan tidak mengandung angka atau simbol, yang membuatnya lebih rentan terhadap serangan brute force daripada kata sandi dengan panjang yang tidak diketahui yang mengandung huruf, angka dan simbol.

Dengan asumsi bahwa saya ingin terus menggunakan fitur-fitur seperti akses IMAP (yang akan memaksa saya untuk membuat setidaknya satu kata sandi khusus aplikasi), apakah saya akan lebih baik atau lebih buruk menggunakan otentikasi dua faktor?

31
Pieter

Anda menulis (beri penekanan pada saya):

Semakin tinggi jumlah kata sandi khusus aplikasi semakin tinggi kemungkinan serangan brute force berhasil.

Kata sandi ini memiliki panjang yang tetap dan tidak mengandung angka atau simbol, yang membuatnya lebih rentan terhadap serangan brute force daripada kata sandi dengan panjang yang tidak diketahui yang mengandung huruf, angka, dan simbol.

Jawaban singkat: Tidak dengan cara praktis.

Jawaban panjang:

Lakukan perhitungan matematis: 16 huruf kecil memungkinkan 26 ^ 16 kata sandi yang berbeda, yaitu lebih dari 10 ^ 22 = 10 × 1000 ^ 7 = kemungkinan sepuluh kata sandi sextillion.

Jika kata sandi dipilih secara acak dengan probabilitas yang sama (kami tidak memiliki alasan untuk percaya bahwa ini bukan masalahnya), kemungkinan memecahkan kata sandi oleh brute force dapat diabaikan, bahkan jika Google tidak melihat serangan itu dan tidak melakukan tindakan balasan apa pun.

Bahkan dengan 100 kata sandi khusus aplikasi untuk satu akun Google, tidak ada cara bagi siapa pun untuk mencoba serangan ini. "Kerentanan" terhadap serangan brute force adalah nol.

Dan jauh lebih mudah pada banyak ponsel pintar untuk mengetikkan kata sandi yang hanya terbuat dari huruf kecil daripada kombinasi huruf dan digit atau huruf besar-kecil ( untuk jumlah kemungkinan kata sandi yang sama).

Anda juga menulis:

Google tidak secara otomatis menonaktifkan kata sandi khusus aplikasi ketika tiba-tiba digunakan di luar konteks yang diharapkan (mis. Untuk mengakses email meskipun telah diatur untuk Chrome sinkronisasi).

Itulah satu-satunya masalah keamanan nyata di sini.

23
curiousguy

Anda TIDAK bisa masuk ke akun Anda dengan kata sandi khusus aplikasi

Kata sandi khusus aplikasi tidak dapat mengubah pengaturan keamanan, hanya mengakses email dan obrolan. Agar privasi Anda terganggu, tetapi akun Anda tidak dapat dibajak.

Inilah yang terjadi ketika Anda mencoba dan masuk untuk mengubah pengaturan akun Anda menggunakan kata sandi khusus aplikasi:

google login

20
Airton Granero

Pertama-tama, otentikasi dua faktor dengan jelas melindungi akun email utama Anda dari serangan jahat. Penyerang tidak dapat secara langsung mendapatkan akses ke akun email Anda tanpa akses ke telepon Anda.

Ini lebih baik daripada tidak mengaktifkan otentikasi dua faktor karena ada lapisan perlindungan tambahan.

Apa yang dilakukan sandi khusus aplikasi adalah memberikan pemisahan yang jelas dari akun email Anda. Ini memberi jalan bagi aplikasi untuk mengakses informasi dari akun Anda tanpa harus membocorkan kata sandi email Anda.

Seperti yang dapat Anda lihat dari gambar, Anda dapat memantau aktivitas kata sandi khusus aplikasi. Jika ada yang tidak biasa, Anda dapat mencabut akses kata sandi.

Mungkin dimungkinkan untuk melakukan bruteforce kata sandi, tetapi ini memiliki dampak yang lebih kecil daripada bruteforcing kata sandi akun utama Anda. Kontrol kerusakan lebih mudah diterapkan karena Anda dapat mencabut kata sandi saat diperlukan.

Mengaktifkan otentikasi dua faktor oleh Google tidak memiliki kerugian, kecuali untuk sedikit ketidaknyamanan karena harus menjangkau ponsel Anda atau membuat kata sandi khusus aplikasi baru saat Anda membutuhkannya.

3
user10211