OAuth token vs. contraseña específica de la aplicación: ¿algún beneficio significativo?

Question

OAuth token vs. contraseña específica de la aplicación: ¿algún beneficio significativo?

#1 de Jesse P. (1 votos)

3

Siento que esto debería ser un duplicado, pero no lo veo en ninguna parte.

La pregunta es bastante simple. Cuando le da a un cliente de correo (por ejemplo, Thunderbird) acceso a su p. Ej. En la cuenta de Gmail, tiene la opción de utilizar una contraseña específica de la aplicación o un token de OAuth.

Por mi vida, no entiendo el beneficio del token OAuth:

Ambos se usan solo para esa aplicación específica
Ambos están protegidos criptográficamente contra el agrietamiento
Ambos permiten el acceso completo a los correos electrónicos del usuario
Ambos pueden ser revocados más tarde por el usuario

Por otro lado, la desventaja es que es menos universal y requiere saltar a través de más aros para configurar.

Entonces, ¿por qué en el mundo utilizaría un token OAuth más largo con una contraseña más corta específica de la aplicación? ¿Qué beneficios tiene? ¿En qué situaciones de ataque me alegraría haber usado OAuth?

passwords authentication oauth gmail

pregunta Mehrdad 18.02.2017 - 21:59

fuente

1 respuesta

Lea otras preguntas en las etiquetas passwords authentication oauth gmail

¿Cómo evitar que los datos sean interceptados? ¿Los navegadores confiarán en un certificado de autofirma caducado en el almacén Root de confianza?

score 1 · Answer 1

El uso de una contraseña específica de la aplicación requiere ingresar al servicio de destino, generar una nueva contraseña específica de la aplicación, ingresar a la aplicación de destino (Thunderbird, en este caso) e ingresar las credenciales.

El uso de OAuth solo requiere abrir Thunderbird, agregar su cuenta con su nombre de usuario / contraseña normal y luego hacer clic en un botón para aprobar que desea que OAuth establezca los permisos para usted. Nunca ve la contraseña / token, no tiene nada que copiar / pegar, etc. Entonces, es más fácil de configurar (por lo general), es más seguro, en el sentido de que nunca ve la contraseña / token y nadie puede mirar por encima del hombro para apuntarlo y usarlo como acceso de puerta trasera (enmascarado como la aplicación para la que lo generó, aunque en realidad no lo es, no hay nada que le impida usar una contraseña específica de la aplicación en varios dispositivos simultáneamente), mientras que el token OAuth es literalmente en una aplicación por aplicación (a menos que esté mal informado).