Agregar cuenta al dispositivo Android parece menos seguro que permitir el acceso para una sola aplicación

2

Acabo de eliminar y volver a agregar mi cuenta de Google a mi teléfono Android. Me sorprendió que para agregar la cuenta, tuve que proporcionar mi contraseña normal y un TOTP de Google Authenticator. No era una opción utilizar una contraseña específica de la aplicación. Dado que google authenticator se instaló en el teléfono en cuestión, no parece ser un método apropiado para 2FA. Por supuesto, un atacante potencial aún requeriría acceso al teléfono Y a mi contraseña, por lo que todavía hay dos factores de autenticación, pero no como lo esperaba.

¿Tengo entendido que una contraseña específica de la aplicación sería más segura? Si es así, no me parece correcto que permitir que una sola aplicación acceda a parte de mi cuenta es más seguro que el acceso completo a la cuenta.

¿Es posible cambiar una configuración para requerir "agregar cuenta" en un dispositivo Android para usar una contraseña específica de la aplicación, o al menos usar un TOTP de un dispositivo diferente?

Hay una pregunta similar en el sitio de intercambio de pila de Android . ¿Es apropiado repetir la pregunta aquí para obtener una perspectiva de seguridad sobre la pregunta? También estaría abierto a sugerencias para un foro de Google donde podría publicar esta pregunta (encontré dos que me dieron el error 554).

    
pregunta craq 22.02.2018 - 23:11
fuente

1 respuesta

1

Sí, tienes razón. Hay tantos problemas con el uso de su contraseña normal para la autenticación en una aplicación de terceros. Si la aplicación implementa la o-auth correctamente, la aplicación nunca debería ver la contraseña ... pero el usuario no tiene forma de saber si la ha implementado correctamente. Es una pena.

Además, sí, 2FA no ayuda tanto si la aplicación de autenticación está en el mismo teléfono, pero a veces es necesario autenticarse en las aplicaciones 2FA con huella digital y también agregaría una capa adicional de seguridad si un atacante quisiera instala la aplicación en su teléfono y tenía tu contraseña.

    
respondido por el MikeSchem 23.02.2018 - 00:24
fuente

Lea otras preguntas en las etiquetas