¿Cuáles son los peligros de permitir que “aplicaciones menos seguras” accedan a mi cuenta de Google?

En mi entendimiento, "aplicaciones menos seguras" se refiere a aplicaciones que envían sus credenciales directamente a Gmail. Muchas cosas pueden salir mal cuando le da sus credenciales a un tercero para que las otorgue a la autoridad de autenticación: el tercero puede mantener las credenciales almacenadas sin avisarle, puede usar sus credenciales para fines fuera del alcance establecido de la aplicación. podría enviar sus credenciales a través de una red sin cifrado, etc.

Además, podría ser una aplicación que un usuario haya instalado localmente, como un cliente IMAP (consulte la siguiente nota de soporte de google: enlace )

"Menos seguro" no significa que las aplicaciones que usan sus credenciales estén necesariamente llenas de agujeros de seguridad o que estén a cargo de delincuentes. Más bien, es la categoría de comportamiento , que otorga sus credenciales a un tercero, es fundamentalmente menos segura que el uso de un mecanismo de autorización como OAuth. Con la autorización, nunca permite que un tercero vea sus credenciales, por lo que se elimina instantáneamente toda una categoría de problemas.

En OAuth, usted se autentica directamente en Gmail con sus credenciales y autoriza a una aplicación para hacer ciertas cosas. La aplicación de terceros solo ve un token de autorización proporcionado por Google como prueba de que usted se autenticó correctamente y acordó autorizar esa aplicación.

En cuanto a por qué sería peligroso habilitar aplicaciones menos seguras (en lugar de usar una aplicación particular que puede no ser confiable), no estoy totalmente seguro. La negativa de Google a autenticarse ocurre después de que ya haya entregado sus credenciales a la aplicación. Me parece que cada vez que proporciona sus credenciales a un tercero, no importa si ha permitido o no la autenticación mediante "aplicaciones menos seguras": alguien puede cargar una pantalla de inicio de sesión y directamente iniciar sesión. en como tú. Los únicos casos posibles en los que puedo pensar son:

• Es posible que los intentos de inicio de sesión "basados en aplicaciones" se traten de manera diferente a los intentos de inicio de sesión "basados en humanos", en particular cómo tratan los cambios repentinos en la ubicación. Tal vez la aplicación "menos segura" que intenta usar tiene servidores en otro continente, por lo que no es sospechoso para Gmail cuando una aplicación intenta iniciar sesión como usted en otro lugar, mientras que un intento de usar la pantalla de inicio de sesión de otro continente por un humano sería sospechoso.

• Los métodos de autenticación posiblemente "menos seguros" incluyen algún otro método de inicio de sesión que no revela directamente sus credenciales a terceros, pero son menos seguros que OAuth 2.0 de alguna otra manera (por ejemplo, son vulnerables a Escuchando por un atacante, o hacen que sea más fácil para un atacante acceder a su cuenta sin saber su contraseña).

Esos dos puntos son conjeturas puras y muy bien pueden no ser ciertas en realidad.

No tengo suficiente reputación para comentar, pero quiero agregar mi propia experiencia cuando "encontré" el problema ...

Estaba configurando un nuevo cliente de correo electrónico Airmail 2.0 para usar el servidor SMTP de Google para enviar correo en nombre de una cuenta de Gmail.

Ahora, mi configuración podría no ser demasiado " común ": tengo esta dirección de Gmail específica reenviada a una dirección diferente, que es la que estoy usando del correo aéreo, y estoy configurando La dirección de Gmail como un "alias" de esa cuenta. Es probable que evite verse como Spam, Airmail permite configurar un servidor SMTP específico para usar cuando se envía un alias " from ".

Tengo otra cuenta de Gmail configurada en Airmail sin ninguna configuración o redirección "funky", y esa funciona bien (no hay mensajes sobre "seguridad reducida", por ejemplo). Así que copié la configuración SMTP de la cuenta "normal" a la nueva:

Estos son los ajustes para la cuenta "clásica":

YestossonlosdelservidorSMTP"alias":

¿Senotaalgunadiferencia?¡¡Yotampoco!!

Heestadomirandoamialrededorytambiénencontrélapáginamencionadaanteriormente,elartículodeSeguridaddeGoogle Las nuevas medidas de seguridad afectarán a las aplicaciones más antiguas (que no sean OAuth 2.0) donde se anuncie el cambio. Este párrafo (el énfasis es mío) parece implicar que las aplicaciones deberán ser" autorizado "para acceder a la cuenta de manera similar a como lo hacen muchos otros" clientes de aplicaciones "(Dropbox, etc.):

  

Por eso, a partir de la segunda mitad de 2014, comenzaremos a aumentar gradualmente las comprobaciones de seguridad realizadas cuando los usuarios inician sesión en Google. Estas verificaciones adicionales garantizarán que solo el usuario deseado tenga acceso a su cuenta, ya sea a través de un navegador, dispositivo o aplicación. Estos cambios afectarán a cualquier aplicación que envíe un nombre de usuario y / o contraseña a Google .

No estoy en contra de la idea, por sí sola, pero apreciaría tener más información sobre lo que deben hacer las aplicaciones para ser consideradas seguras , por lo que podemos pedir a nuestros proveedores de aplicaciones que implementen los cambios necesarios. ...

Más información sobre el tema aquí: GMail comienza a bloquear aplicaciones menos seguras: cómo habilitar nuevamente el acceso .

Lo que es más desconcertante es que mi "otra" cuenta de Gmail no activa este tipo de mensajes, ya que no tengo 2FA habilitado. De acuerdo con el artículo anterior, ¡debería haber tenido algunos de esos errores!

ACTUALIZADO 2014-12-31, 17:52 GMT : por curiosidad, he comprobado la configuración de mi antigua cuenta de Gmail y he visto que en realidad está configurada en "menos" seguridad "(como lo llama Google). Supongo que cuando Google introdujo la función, el valor predeterminado para las cuentas existentes a las que acceden los clientes " menos seguros " (según los términos de Google) es permitir que sigan accediendo.

Por otra parte, como dicen algunos de los comentarios en la publicación original del blog de Google, es genial que Google se preocupe por nuestra seguridad, pero podría haber comenzado por apoyar cosas como CRAM-MD5 o DIGEST-MD5 para la autenticación en lugar de simplemente INICIAR SESIÓN.

Las personas están usando aplicaciones móviles que no toman las acciones adecuadas para asegurar las credenciales de los usuarios de GMail. Así que Google está tomando lo único que puede hacer: terminar con la diversión de los piratas informáticos maliciosos al prohibir que las aplicaciones envíen usuarios y contraseñas y forzar el uso de un método de autenticación en el que confía (¡el suyo propio!).

El problema con estas aplicaciones no es uno, sino varios: algunos no usan ssl / tls para el cifrado de datos, otros permiten que los piratas informáticos intermedien la comunicación, etc.

Al hacer esto, permiten a los atacantes capturar las credenciales de los usuarios de GMail, lo que lleva al compromiso de las cuentas.

Por lo tanto, Google cambió de una autenticación a un método de autorización, algo que se parece a lo que usa GitHub.