Le "password specifiche per applicazione" sono così denominate per incoraggiare buone pratiche di sicurezza - non si dovrebbe riutilizzarle. Tuttavia, il nome potrebbe anche fornire un falso senso di sicurezza a molte persone.
Perché le password specifiche dell'applicazione sono necessarie
Autenticazione a due fattori - o verifica in due passaggi, o qualunque sia il servizio che la chiama - richiede due cose per accedere al tuo account. Devi prima inserire la tua password, quindi devi inserire un codice monouso generato da un'app per smartphone, inviato tramite SMS o inviato via email.
Funziona normalmente quando si accede al sito Web di un servizio o ad un'applicazione compatibile. Inserisci la tua password e ti viene richiesto il codice one-time. Si inserisce il codice e il dispositivo riceve un token OAuth che considera l'applicazione o il browser autenticato, o qualcosa del genere - in realtà non memorizza la password.
Per risolvere questo problema, Google, Microsoft, Apple e altri provider di account che offrono la verifica in due passaggi offrono anche la possibilità di generare una "password specifica per l'applicazione". Quindi inserisci questa password nell'applicazione, ad esempio, l'email del tuo desktop cliente di scelta - e quell'applicazione può tranquillamente connettersi al tuo account. Problema risolto: le applicazioni che non sarebbero compatibili con l'autenticazione in due passaggi ora funzionano con esso.
Aspetta un minuto, cosa è appena successo?
La maggior parte delle persone probabilmente continuerà per la sua strada, con la certezza che stanno usando l'autenticazione a due fattori e sono al sicuro. Tuttavia, quella "password specifica per l'applicazione" è in realtà una nuova password che fornisce l'accesso all'intero account, ignorando completamente l'autenticazione a due fattori. Questo è il modo in cui queste password specifiche dell'applicazione consentono alle applicazioni meno recenti che dipendono dal ricordare le password per funzionare.
I codici di backup consentono inoltre di bypassare l'autenticazione a due fattori, ma possono essere utilizzati solo una volta ciascuno. A differenza dei codici di backup, le password specifiche dell'applicazione possono essere utilizzate per sempre o fino alla revoca manuale.
Perché sono chiamate password specifiche dell'applicazione
Queste sono spesso chiamate password specifiche per l'applicazione, in quanto dovresti generarne una nuova per ogni applicazione che usi. Ecco perché Google e altri servizi non ti consentono di visualizzare effettivamente queste password specifiche per le applicazioni dopo averle generate. Sono visualizzati sul sito Web una volta, li inserisci nell'applicazione e quindi idealmente non li vedi mai più. La prossima volta che devi usare questa applicazione, devi solo generare una nuova password per l'app.
Ciò fornisce alcuni vantaggi per la sicurezza. Quando hai finito con un'applicazione, puoi utilizzare il pulsante qui per "Revocare" una password specifica per l'applicazione e tale password non concederà più l'accesso al tuo account. Qualsiasi applicazione che usi la vecchia password non funzionerà. La password dell'app nello screenshot qui sotto è stata revocata, ecco perché è sicuro mostrarla.
Le password specifiche per le applicazioni sono certamente un grande miglioramento rispetto a non utilizzare affatto l'autenticazione a due fattori. Eliminare le password specifiche per le applicazioni è meglio che assegnare ad ogni applicazione la propria password principale. È più facile revocare una password specifica per l'app piuttosto che cambiare completamente la password principale.
I rischi
Se hai cinque password specifiche per applicazione generate, ci sono cinque password che possono essere utilizzate per accedere ai tuoi account. I rischi sono chiari:
- Se la password è compromessa, potrebbe essere utilizzata per accedere al tuo account. Ad esempio, supponiamo tu abbia impostato l'autenticazione a due fattori nel tuo account Google e il tuo computer sia stato infettato da malware. L'autenticazione a due fattori normalmente proteggerebbe il tuo account, ma il malware potrebbe raccogliere password specifiche per l'applicazione archiviate in applicazioni come Thunderbird e Pidgin. Queste password potrebbero quindi essere utilizzate per accedere direttamente al tuo account.
- Qualcuno con accesso al tuo computer potrebbe generare una password specifica per l'applicazione e quindi tenerla attiva, utilizzandola per entrare nel tuo account senza l'autenticazione a due fattori in futuro. Se qualcuno ti guardava da capo mentre avevi generato una password specifica per l'applicazione e hai catturato la tua password, avrebbero avuto accesso al tuo account.
- Se fornisci una password specifica per un'applicazione a un servizio o un'applicazione e quell'applicazione è dannosa, non hai solo dato una singola applicazione per accedere al tuo account - il proprietario dell'applicazione potrebbe passare la password e altre persone potrebbero usarlo per scopi dannosi.
Alcuni servizi potrebbero tentare di limitare gli accessi web con password specifiche dell'applicazione, ma questo è più di un bandaid. In definitiva, le password specifiche dell'applicazione forniscono accesso illimitato al tuo account in base alla progettazione, e non c'è molto che possa essere fatto per prevenirlo.
Non stiamo cercando di spaventarti troppo, qui. Ma la realtà delle password specifiche dell'applicazione è che non sono specifiche dell'applicazione. Sono un rischio per la sicurezza, quindi dovresti revocare le password specifiche dell'applicazione che non usi più. Fai attenzione a loro e trattali come le password principali del tuo account che sono.