¿IMAP / POP3 / ASP socava la autenticación de dos factores?

Navega tus respuestas
7

Cuando inicio sesión en hotmail o Google o posteo, solo puedo iniciar sesión con el 2FA que he configurado. Sin embargo, cada proveedor parece tener una alternativa para las aplicaciones que no se autentican a través de un cliente web.

  • Hotmail / Google: contraseña "específica de la aplicación" de 16 caracteres en minúscula
  • Posteo: IMAP / POP3

Esta contraseña específica de la aplicación le da a cualquier aplicación acceso completo a su cuenta. Puedo usar la misma contraseña específica de la aplicación de thunderbird para leer todos los mensajes usando una aplicación de correo en mi teléfono.

En el caso de Posteo, simplemente ingreso la contraseña como si no se hubiera configurado 2FA, y podría cargar cualquier bandeja de entrada.

Ahora, dadas las situaciones anteriores, realmente no entiendo cómo pueden existir IMAP / POP3 y las contraseñas específicas de la aplicación cuando 2FA está habilitado, ya que eluden completamente 2FA.

¿Cuál es la cosa crítica que me falta aquí?

    
pregunta CCXD 18.11.2017 - 21:45
fuente

2 respuestas

5

No te estás perdiendo nada.

Es una opción de conveniencia que generalmente debe incluirse específicamente cuando 2FA está habilitado, y de alguna manera desafía a 2FA.

De lo contrario, los teléfonos inteligentes y los clientes de correo electrónico serían bastante inútiles, o al menos incómodos.

En el caso de los clientes de correo de teléfonos inteligentes: para la mayoría de las opciones de 2FA, el teléfono inteligente es el segundo factor, por lo que tampoco existe un beneficio masivo. (Y otras opciones podrían no ser posibles, por ejemplo, los iPhones no pueden usar yubikeys).

No obstante, 2FA aún le ayuda cuando la contraseña de IMAP / POP3 / SMTP es sólida y única para esa cuenta y la conexión está protegida por TLS: aún no puede ser phishing y puede usar su teléfono inteligente y la contraseña no puede ser bruta forzado y no puede filtrarse (porque es fuerte y solo se usa allí).

    
respondido por el Tobi Nary 18.11.2017 - 22:10
fuente
0

La autenticación en el lado del servidor no es mágica. Solo son algoritmos haciendo lo que hacen los algoritmos. Si 2FA está habilitado en un sitio, el sitio le pedirá su contraseña, y luego, asumiendo que es correcto, solicitará su código 2FA. Si el sitio tiene un mecanismo como las contraseñas específicas de la aplicación, y usted proporciona uno, no solicitará el código 2FA. Eso es bastante simple.

La ventaja de las contraseñas específicas de la aplicación es que puede configurar una aplicación o servicio con acceso limitado a su cuenta. Una contraseña específica de la aplicación generalmente no se puede usar para realizar cambios en su cuenta (a menos que un sitio esté mal diseñado o con errores). Aún tendría que tener su contraseña maestra y el código 2FA para hacer eso.

    
respondido por el Craig 19.11.2017 - 00:37
fuente

Lea otras preguntas en las etiquetas

Veracrypt: ¿Qué algoritmo de cifrado + algoritmo hash utilizar? ¿Por qué la verificación DKIM tiene éxito con una firma de Yahoo cuando todas las cabeceras están falsificadas para parecerse a GMail?