Wie man
Ihre „anwendungsspezifischen Passwörter“ sind nicht anwendungsspezifisch
Anwendungsspezifische Passwörter sind gefährlicher, als sie klingen. Trotz ihres Namens sind sie alles andere als anwendungsspezifisch. Jedes anwendungsspezifische Passwort ist eher ein Skelettschlüssel, der uneingeschränkten Zugriff auf Ihr Konto bietet.
„Anwendungsspezifische Passwörter“ werden so benannt, um gute Sicherheitspraktiken zu fördern – Sie dürfen sie nicht wiederverwenden. Allerdings kann der Name vielen Menschen auch ein falsches Sicherheitsgefühl vermitteln.
Warum anwendungsspezifische Passwörter notwendig sind
Die Zwei-Faktor-Authentifizierung – oder die Bestätigung in zwei Schritten, oder wie auch immer ein Dienst es nennt – erfordert zwei Dinge, um sich bei Ihrem Konto anzumelden. Sie müssen zuerst Ihr Passwort eingeben und dann einen Einmalcode eingeben, der von einer Smartphone-App generiert, per SMS oder E-Mail an Sie gesendet wird.
So funktioniert es normalerweise, wenn Sie sich auf der Website eines Dienstes oder einer kompatiblen Anwendung anmelden. Sie geben Ihr Passwort ein und werden dann zur Eingabe des Einmalcodes aufgefordert. Sie geben den Code ein und Ihr Gerät erhält ein OAuth-Token, das die Anwendung oder den Browser als authentifiziert betrachtet oder so ähnlich – es speichert nicht das Passwort.
Einige Anwendungen sind jedoch nicht mit diesem zweistufigen Schema kompatibel. Angenommen, Sie möchten einen Desktop-E-Mail-Client verwenden, um auf Gmail-, Outlook.com- oder iCloud-E-Mails zuzugreifen. Diese E-Mail-Clients fragen Sie nach einem Passwort, speichern dieses Passwort und verwenden es jedes Mal, wenn sie auf den Server zugreifen. Es gibt keine Möglichkeit, einen zweistufigen Bestätigungscode in diese älteren Anwendungen einzugeben.
Um dies zu beheben, bieten Google, Microsoft, Apple und verschiedene andere Kontoanbieter, die eine zweistufige Verifizierung anbieten, auch die Möglichkeit, ein „anwendungsspezifisches Passwort“ zu generieren. Sie geben dieses Passwort dann in die Anwendung ein – beispielsweise Ihren bevorzugten Desktop-E-Mail-Client – und diese Anwendung kann sich problemlos mit Ihrem Konto verbinden. Problem gelöst – Anwendungen, die mit der zweistufigen Authentifizierung nicht kompatibel wären, funktionieren jetzt damit.
Warten Sie eine Minute, was ist gerade passiert?
Die meisten Leute werden wahrscheinlich ihren Weg fortsetzen, in dem Wissen, dass sie die Zwei-Faktor-Authentifizierung verwenden und sicher sind. Dieses „anwendungsspezifische Passwort“ ist jedoch tatsächlich ein neues Passwort, das Zugriff auf Ihr gesamtes Konto bietet und die Zwei-Faktor-Authentifizierung vollständig umgeht. Auf diese Weise ermöglichen diese anwendungsspezifischen Passwörter, dass ältere Anwendungen funktionieren, die darauf angewiesen sind, sich Passwörter zu merken.
Mit Backup-Codes können Sie auch die Zwei-Faktor-Authentifizierung umgehen, sie können jedoch jeweils nur einmal verwendet werden. Im Gegensatz zu Backup-Codes können anwendungsspezifische Passwörter für immer verwendet werden – oder bis Sie sie manuell widerrufen.
Warum sie anwendungsspezifische Passwörter genannt werden
Diese werden oft als anwendungsspezifische Passwörter bezeichnet, da Sie für jede von Ihnen verwendete Anwendung ein neues generieren sollen. Aus diesem Grund erlauben Google und andere Dienste nicht, diese anwendungsspezifischen Passwörter anzuzeigen, nachdem Sie sie generiert haben. Sie werden einmal auf der Website angezeigt, Sie geben sie in die Anwendung ein und sehen sie dann im Idealfall nie wieder. Wenn Sie eine solche Anwendung das nächste Mal verwenden müssen, generieren Sie einfach ein neues App-Passwort.
Dies bietet einige Sicherheitsvorteile. Wenn Sie mit einer Anwendung fertig sind, können Sie mit der Schaltfläche hier ein anwendungsspezifisches Passwort „widerrufen“ und dieses Passwort gewährt keinen Zugriff mehr auf Ihr Konto. Alle Anwendungen, die das alte Passwort verwenden, funktionieren nicht. Das App-Passwort im Screenshot unten wurde widerrufen, daher ist es sicher, es vorzuführen.
Anwendungsspezifische Passwörter sind sicherlich eine große Verbesserung gegenüber dem Verzicht auf die Zwei-Faktor-Authentifizierung. Es ist besser, anwendungsspezifische Passwörter zu verschenken, als jeder Anwendung Ihr primäres Passwort zu geben. Es ist einfacher, ein App-spezifisches Passwort zu widerrufen, als Ihr Hauptpasswort vollständig zu ändern.
Die Risiken
Wenn Sie fünf anwendungsspezifische Passwörter generiert haben, gibt es fünf Passwörter, die für den Zugriff auf Ihre Konten verwendet werden können. Die Risiken liegen auf der Hand:
- Wenn das Passwort kompromittiert wird, kann es verwendet werden, um auf Ihr Konto zuzugreifen. Angenommen, Sie haben in Ihrem Google-Konto die Zwei-Faktor-Authentifizierung eingerichtet und Ihr Computer ist mit Malware infiziert. Die Zwei-Faktor-Authentifizierung würde normalerweise Ihr Konto schützen, aber die Malware könnte anwendungsspezifische Passwörter sammeln, die in Anwendungen wie Thunderbird und Pidgin gespeichert sind. Diese Passwörter können dann verwendet werden, um direkt auf Ihr Konto zuzugreifen.
- Jemand mit Zugriff auf Ihren Computer könnte ein anwendungsspezifisches Passwort generieren und es dann speichern, um in Zukunft ohne die Zwei-Faktor-Authentifizierung in Ihr Konto einzudringen. Wenn Ihnen jemand über die Schulter schaut, während Sie ein anwendungsspezifisches Passwort generiert und Ihr Passwort erfasst haben, hat er Zugriff auf Ihr Konto.
- Wenn Sie einem Dienst oder einer Anwendung ein anwendungsspezifisches Kennwort bereitstellen und diese Anwendung bösartig ist, haben Sie nicht nur einer einzelnen Anwendung Zugriff auf Ihr Konto gewährt – der Besitzer der Anwendung könnte das Kennwort weitergeben und andere Personen könnten es für böswillige Zwecke verwenden .
Einige Dienste versuchen möglicherweise, Web-Logins mit anwendungsspezifischen Passwörtern einzuschränken, aber das ist eher ein Pflaster. Letztendlich bieten anwendungsspezifische Passwörter absichtlich uneingeschränkten Zugriff auf Ihr Konto, und es gibt nicht viel, was man tun kann, um dies zu verhindern.
Wir versuchen Ihnen hier nicht zu viel Angst zu machen. Die Realität anwendungsspezifischer Passwörter ist jedoch, dass sie nicht anwendungsspezifisch sind. Sie stellen ein Sicherheitsrisiko dar, daher sollten Sie anwendungsspezifische Kennwörter, die Sie nicht mehr verwenden, widerrufen. Seien Sie vorsichtig mit ihnen und behandeln Sie sie wie die Master-Passwörter für Ihr Konto, die sie sind.
-
Wie man3 años agoSo erstellen Sie eine Punktraster-Papiervorlage in Microsoft Word
-
Wie man3 años agoSo wechseln Sie zu einer 24-Stunden-Uhr im Echo Show & Echo Spot
-
Tipps3 años agoSie können jetzt eine Verzögerung in Alexa-Routinen festlegen
-
Wie man3 años agoSo erstellen Sie Fortschrittsbalken in Excel mit bedingter Formatierung
-
Wie man3 años agoWarum iPhone Apps nach «Geräten in Ihrem lokalen Netzwerk» fragen
-
Wie man2 años agoDer How-To-Geek-Leitfaden zum Erlernen von Photoshop, Teil 2: Panels
-
Wie man3 años agoSo erstellen Sie Automatisierungen auf einem iPhone oder iPad
-
Wie man3 años agoAktivieren und Verwenden der Freigabe der Zwischenablage in Google Chrome