¿Cómo almacena Google las contraseñas para los servicios remotos IMAP / POP?

7

Es posible agregar cuentas que no sean de Google a Gmail y recuperar sus mensajes de correo electrónico POP o IMAP. Como parte del proceso de configuración, uno tiene que proporcionar el nombre de usuario y la contraseña de inicio de sesión para estas cuentas.

Dado que POP / IMAIL requiere credenciales de texto sin formato, Google debe almacenarlas de manera reversible.

¿Hay documentación sobre cómo se protegen estas credenciales?

    
pregunta WoJ 09.03.2016 - 17:00
fuente

2 respuestas

2

Hay dos lados aquí que algunas personas pueden haberse confundido. Así que déjame mantenerlos en orden:

En primer lugar, su contraseña para su cuenta de Gmail (su actual contraseña de Google) está con hash responsable. No he visto los detalles publicados públicamente en ningún lugar, así que solo diré que las personas responsables de este tema se preocupan por la seguridad y tienen un conocimiento muy completo de lo que eso implica.

Pero si configura "Recuperador de correo" para sondear otros servicios de correo usando POP3 e importar su correo a su cuenta, entonces sí, obviamente esa utilidad debe poder acceder a la versión de texto sin formato de su contraseña en para iniciar sesión como usted y recuperar el correo en su nombre. Esta es una limitación inherente a cualquier sistema que usa contraseñas, y es inevitable. No uses esa función si te hace sentir incómodo.

No veo en ningún sitio ninguna documentación pública sobre cómo se protegen estas credenciales, por lo que, lamentablemente, no puedo hacer comentarios al respecto. Pero, nuevamente, repetiré todo el sentimiento de los "ingenieros inteligentes".

Nota al margen: Google ha actualizado OAuth2 en POP3 e IMAP específicamente para resolver este problema, permitiéndole otorgarle a un cliente acceso a su correo sin darle su contraseña de inicio de sesión. También le permite usar su configuración de 2 factores con POP3 e IMAP. Pero hasta ahora no ha ganado mucha popularidad más allá de Gmail, por lo que no es particularmente útil para la herramienta de recuperación de correo.

  

Descargo de responsabilidad: trabajo para Google.
Segundo descargo de responsabilidad: No no hablo por Google. Estos pensamientos y opiniones son míos (lo que creo que los hace más valiosos).

    
respondido por el tylerl 08.06.2016 - 07:37
fuente
1

No encontré ninguna documentación de este tipo. Por lo tanto, tuve que hacer una comunicación interna sobre esta vulnerabilidad a mis usuarios.

Además, en el momento de la conexión (pop|imap)/tcp , estas contraseñas están claras en los servidores de Gmail (que actúan como clientes en este proceso). También están viajando por Internet en claro.

Google debe documentar mejor la debilidad inherente de un servicio de este tipo, y se deben proporcionar las advertencias adecuadas a los usuarios que no son conscientes de la seguridad.

    
respondido por el daniel Azuelos 09.03.2016 - 23:11
fuente

Lea otras preguntas en las etiquetas