¿Los clientes que no son navegadores trabajan con la autenticación de 2 factores de Gmail?

Navega tus respuestas
3

Si usa un cliente como mutt para acceder a su correo, probablemente sepa que no admite la autenticación de 2 factores. Sigue solicitando solo una contraseña, ya sea la contraseña de su cuenta o, en el caso de Gmail, posiblemente la contraseña de Gmail específica de su aplicación.

Mi preocupación es que los atacantes pueden solucionar la autenticación de 2 factores de Gmail iniciando sesión a través de un cliente como mutt. Si bien podemos establecer contraseñas específicas de la aplicación, no podemos hacerlo para cada cliente que existe, ¿verdad? Y sí, si alguien tiene una contraseña, entonces el juego ya terminó; pero se supone que 2-factor es una línea de defensa adicional, y esto parece socavar esa defensa adicional.

¿Esto es una amenaza real? ¿Cuál es la forma recomendada de tratar con él?

    
pregunta user52388 21.07.2014 - 15:27
fuente

1 respuesta

4

Las contraseñas específicas de la aplicación son la única solución que se proporciona actualmente para las aplicaciones que no admiten la autenticación de dos factores para Google. Esto efectivamente pasa por alto la autenticación de dos factores, pero solo hasta cierto punto.

Obviamente, el riesgo principal es que se pueda usar una contraseña específica de la aplicación comprometida para acceder a su cuenta sin requerir un segundo factor para la autenticación. Google proporciona una cierta cantidad de mitigación a este riesgo al hacer que las contraseñas sean mucho más seguras que la contraseña típica generada por el usuario, y también al mostrar solo una contraseña específica de la aplicación una vez.

También debe estar mitigando esto al garantizar la seguridad del entorno donde se muestra y almacena la contraseña específica de la aplicación, utilizando solo una contraseña específica de la aplicación una vez, y nunca copiando una contraseña específica de la aplicación en ninguna ubicación excepto en Campo de contraseña para la aplicación que lo necesita. Además, como siempre, no use la aplicación en redes en las que no confía.

También debe aprovechar los mecanismos que proporciona Google para administrar y monitorear las contraseñas específicas de la aplicación. En particular:

  • Google le alerta cuando se crea una nueva contraseña específica de la aplicación. Preste atención a estos.
  • Puedes crear nombres personalizados para contraseñas específicas de la aplicación. Dales nombres que tengan sentido para ti.
    • En "Seleccionar aplicación" o "Seleccionar dispositivo", selecciona "Otro (nombre personalizado)".
  • Puede ver cuándo fue la última vez que se utilizó una contraseña específica de la aplicación. Para las aplicaciones que se están registrando constantemente, esta información puede no ser muy útil. Sin embargo, si sabe que un dispositivo ha estado desconectado por un tiempo y ve un uso reciente, esto todavía puede ser un indicador de problemas.
  • Puede y debe revocar contraseñas específicas de aplicaciones que ya no están en uso o que muestran signos de abuso.

Al final, la creación de una contraseña específica de la aplicación requiere que usted acepte el riesgo de permitir que esa aplicación tenga permisos para su cuenta sin un segundo factor de autenticación.

    
respondido por el Iszi 21.07.2014 - 16:33
fuente

Lea otras preguntas en las etiquetas

SSO a través de HMAC y clave compartida. ¿Se puede mejorar esto? ¿Material del curso para la certificación GPEN? [cerrado]