phhsnews.com


phhsnews.com / Avertissement: Vos "mots de passe spécifiques à une application" ne sont pas spécifiques à l'application

Avertissement: Vos "mots de passe spécifiques à une application" ne sont pas spécifiques à l'application


Les mots de passe spécifiques aux applications sont plus dangereux qu'ils ne le semblent. Malgré leur nom, ils sont tout sauf spécifiques à l'application. Chaque mot de passe spécifique à une application s'apparente davantage à une clé squelette qui fournit un accès illimité à votre compte.

Les mots de passe spécifiques aux applications sont nommés pour encourager les bonnes pratiques de sécurité - vous n'êtes pas censé les réutiliser. Cependant, le nom peut également fournir un faux sentiment de sécurité à beaucoup de gens.

Pourquoi des mots de passe spécifiques à l'application sont nécessaires

CONNEXES: Qu'est-ce que l'authentification à deux facteurs, et pourquoi en ai-je besoin? > L'authentification à deux facteurs - ou la vérification en deux étapes, ou quel que soit l'appel d'un service - nécessite deux choses pour se connecter à votre compte. Vous devez d'abord entrer votre mot de passe, puis vous devez entrer un code d'utilisation unique généré par une application pour smartphone, envoyé par SMS, ou envoyé par e-mail.

Voici comment cela fonctionne normalement lorsque vous vous connectez à un site Web du service ou une application compatible. Vous entrez votre mot de passe, puis vous êtes invité à entrer le code unique. Vous entrez le code, et votre appareil reçoit un jeton OAuth qui considère l'application ou le navigateur authentifié, ou quelque chose comme ça - il ne stocke pas réellement le mot de passe.

RELATED:

Sécurisez-vous en utilisant la validation en deux étapes sur ces 16 services Web Cependant, certaines applications ne sont pas compatibles avec ce schéma en deux étapes. Par exemple, supposons que vous souhaitiez utiliser un client de messagerie sur votre ordinateur pour accéder aux e-mails Gmail, Outlook.com ou iCloud. Ces clients de messagerie fonctionnent en vous demandant un mot de passe, puis ils stockent ce mot de passe et l'utilisent chaque fois qu'ils accèdent au serveur. Il est impossible d'entrer un code de validation en deux étapes dans ces anciennes applications.

Pour résoudre ce problème, Google, Microsoft, Apple et divers autres fournisseurs de compte qui proposent une validation en deux étapes peuvent également générer une «application». mot de passe spécifique. "Vous entrez ensuite ce mot de passe dans l'application - par exemple, votre client de messagerie de bureau de votre choix - et cette application peut se connecter avec plaisir à votre compte. Problème résolu - les applications qui ne seraient pas compatibles avec l'authentification en deux étapes fonctionnent désormais avec

Attendez une minute, qu'est-ce qui vient de se passer?

CONNEXION:

Comment éviter de se faire bloquer lors de l'utilisation de deux facteurs Authentification La plupart des gens continueront probablement leur chemin, sachant qu'ils utilisent une authentification à deux facteurs et qu'ils sont en sécurité. Cependant, ce «mot de passe spécifique à l'application» est en fait un nouveau mot de passe qui donne accès à l'intégralité de votre compte, en contournant entièrement l'authentification à deux facteurs. C'est ainsi que ces mots de passe spécifiques aux applications permettent aux anciennes applications qui dépendent de la mémorisation des mots de passe de fonctionner.

Les codes de sauvegarde permettent également de contourner l'authentification à deux facteurs, mais ils ne peuvent être utilisés qu'une seule fois. Contrairement aux codes de sauvegarde, les mots de passe spécifiques à l'application peuvent être utilisés indéfiniment - ou jusqu'à ce que vous les révoquiez manuellement.

Pourquoi ils sont appelés Mots de passe spécifiques à l'application

Ils sont souvent appelés mots de passe spécifiques aux applications un nouveau pour chaque application que vous utilisez. C'est pourquoi Google et les autres services ne vous permettent pas d'afficher ces mots de passe spécifiques aux applications une fois que vous les avez générés. Ils sont affichés sur le site Web une fois, vous les entrez dans l'application, et vous ne les verrez jamais à nouveau. La prochaine fois que vous aurez besoin d'une telle application, vous génèrerez simplement un nouveau mot de passe d'application.

Cela offre des avantages en termes de sécurité. Lorsque vous avez terminé avec une application, vous pouvez utiliser le bouton ici pour «révoquer» un mot de passe spécifique à l'application et ce mot de passe n'accordera plus l'accès à votre compte. Toute application utilisant l'ancien mot de passe ne fonctionnera pas. Le mot de passe de l'application dans la capture d'écran ci-dessous a été révoqué, c'est pourquoi il est sûr de le montrer.

Les mots de passe spécifiques aux applications sont certainement une grande amélioration par rapport à l'absence d'authentification à deux facteurs. Donner des mots de passe spécifiques à une application est préférable à donner à chaque application votre mot de passe principal. Il est plus facile de révoquer un mot de passe spécifique à une application que de changer entièrement votre mot de passe principal.

Les risques

Si cinq mots de passe spécifiques à l'application sont générés, cinq mots de passe peuvent être utilisés pour accéder à vos comptes. Les risques sont évidents:

Si le mot de passe est compromis, il peut être utilisé pour accéder à votre compte. Par exemple, supposons que vous ayez configuré l'authentification à deux facteurs sur votre compte Google et que votre ordinateur soit infecté par un logiciel malveillant. L'authentification à deux facteurs protège normalement votre compte, mais le logiciel malveillant peut récupérer des mots de passe spécifiques à l'application stockés dans des applications telles que Thunderbird et Pidgin. Ces mots de passe pourraient ensuite être utilisés pour accéder directement à votre compte.

  • Une personne ayant accès à votre ordinateur pourrait générer un mot de passe spécifique à l'application, puis l'utiliser pour accéder à votre compte sans l'authentification à deux facteurs . Si quelqu'un regardait par-dessus votre épaule pendant que vous génériez un mot de passe spécifique à l'application et capturais votre mot de passe, il aurait accès à votre compte.
  • Si vous fournissez un mot de passe spécifique à un service ou une application , vous n'avez pas donné une seule application à votre compte - le propriétaire de l'application peut transmettre le mot de passe et d'autres personnes peuvent l'utiliser à des fins malveillantes.
  • Certains services peuvent tenter de restreindre les connexions Web avec des mots de passe spécifiques à l'application, mais c'est plus un pansement. En fin de compte, les mots de passe spécifiques aux applications fournissent un accès illimité à votre compte par conception, et il n'y a pas grand-chose à faire pour l'empêcher.

Nous n'essayons pas de vous faire trop peur, ici. Mais la réalité des mots de passe spécifiques à une application est qu'ils ne sont pas spécifiques à l'application. Ils représentent un risque de sécurité. Vous devez donc supprimer les mots de passe spécifiques à une application que vous n'utilisez plus. Soyez prudent avec eux et traitez-les comme les mots de passe principaux de votre compte.



Pourquoi votre PC Windows n'est pas authentique (et exactement comment cela vous limite)

Pourquoi votre PC Windows n'est pas authentique (et exactement comment cela vous limite)

"Vous pouvez être victime de contrefaçon de logiciel." Ces messages apparaissent régulièrement si Windows pense que vous êtes en utilisant une version piratée de Windows. Microsoft veut vous harceler jusqu'à ce que vous deveniez légitime et empêcher les vendeurs de PC de glisser des copies piratées de Windows sur leurs PC.

(how-to)

Tous ces «Sceaux d'approbation» sur les sites Web ne signifient vraiment rien

Tous ces «Sceaux d'approbation» sur les sites Web ne signifient vraiment rien

Vous verrez des badges comme «Norton Secured», «Microsoft Certified Partner» et «BBB Accredited Business» partout sur le Web - en particulier lors du téléchargement de logiciels. Des conseils tels que "Si vous voyez un sceau McAfee SECURE sur un site Web, vous savez que c'est sûr", c'est faux. Vous ne devriez pas faire confiance aveuglément à un site Web qui affiche ces badges.

(how-to)