允许“不太安全的应用程序”访问我的 Google 帐户有什么危险?

信息安全 验证 oauth 谷歌 地图
2021-09-07 05:51:07

根据https://support.google.com/accounts/answer/6010255

Google 可能会阻止来自不使用现代安全标准的某些应用或设备的登录尝试。由于这些应用程序和设备更容易被入侵,因此阻止它们有助于确保您的帐户更安全。

那些“现代安全标准”是什么?为什么允许不支持它们的应用程序是危险的?此外,如果您不使用这些应用程序,启用该选项(允许安全性较低的应用程序)是否危险?如果是这样,为什么?

我相信它可能是 IMAP 上的 OAuth2.0(根据页面)。据我所知,这是谷歌自己的扩展,没有被任何其他服务提供商使用。

在我的具体情况下,我试图使用 Kmail (v4.14.0) 和 IMAP 访问我的 Gmail 帐户。

3个回答

在我的理解中,“不太安全的应用程序”是指将您的凭据直接发送到 Gmail 的应用程序。当您将凭据提供给第三方以提供给身份验证机构时,很多事情都可能出错:第三方可能会在不告诉您的情况下将凭据保存在存储中,他们可能会将您的凭据用于应用程序规定范围之外的目的,他们可能会通过网络发送您的凭据而无需加密等。

此外,它可能是用户在本地安装的应用程序,例如 IMAP 客户端(请参阅来自 google 的以下支持说明:https: //support.google.com/accounts/answer/6010255?hl=en

“不太安全”并不是说使用您的凭据的应用程序必然充满安全漏洞或由犯罪分子运行。相反,它是行为类别——将您的凭据提供给第三方——从根本上说不如使用像 OAuth 这样的授权机制安全。通过授权,您永远不会允许第三方查看您的凭据,因此可以立即消除整个类别的问题。

在 OAuth 中,您使用您的凭据直接向 Gmail 进行身份验证,并授权应用执行某些操作。第三方应用程序只会将 Google 提供的授权令牌视为您正确进行身份验证并同意授权该应用程序的证明。

至于为什么启用不太安全的应用程序会很危险(相对于使用可能不可信的特定应用程序),我不完全确定。Google 拒绝进行身份验证是在您将凭据提供给应用程序之后发生的。在我看来,每当您向第三方提供您的凭据时,您是否允许通过“不太安全的应用程序”进行身份验证并不重要——有人可以加载登录屏幕并直接登录像你一样。我能想到的唯一可能的情况是:

  • 可能“基于应用程序”的登录尝试与“基于人类”的登录尝试不同,特别是它们如何处理位置的突然变化。也许您尝试使用的“不太安全”的应用程序在另一个大洲拥有服务器,因此当应用程序尝试以您在其他地方登录时,Gmail 不会怀疑,而尝试使用来自另一个大洲的登录屏幕一个人会怀疑。

  • 可能“不太安全”的身份验证方法包括一些其他登录方法,它们不会直接向第三方透露您的凭据,但在其他方面不如 OAuth 2.0 安全(例如,它们容易被攻击者窃听,或者它们使攻击者在不知道您的密码的情况下更容易访问您的帐户)。

这两点纯属臆测,实际情况可能并非如此

我没有足够的声誉发表评论,但我想在“发现”问题时添加自己的经验......

我正在设置一个新的电子邮件客户端Airmail 2.0以使用 Google 的 SMTP 服务器代表 Gmail 帐户发送邮件。

现在,我的设置可能不太“常见”:我将这个特定的 Gmail 地址转发到另一个地址,这是我从 Airmail 使用的地址,并且我将 gmail 地址设置为该地址的“别名”帐户。为了避免看起来像垃圾邮件,Airmail 允许配置特定的 SMTP 服务器,以便在发送“来自”别名时使用。

在 Airmail 上设置了另一个Gmail 帐户,没有任何“时髦”的配置或重定向,并且该帐户运行良好(例如,没有关于“降低安全性”的消息)。所以我将 SMTP 设置从“普通”帐户复制到新帐户:

这些是“经典”帐户的设置:

旧 Gmail 帐户 SMTP 设置

这些是“别名” SMTP 服务器的:

新的 Gmail 帐户 SMTP 设置

注意到有什么不同吗?我也不!!

我一直在环顾四周,我还找到了前面提到的页面,谷歌的安全文章新的安全措施将影响宣布更改的旧(非 OAuth 2.0)应用程序- 这一段(强调我的!)似乎暗示应用需要“授权”以与许多其他“应用客户端”(Dropbox 等)类似的方式访问该帐户:

因此,从 2014 年下半年开始,我们将开始逐步增加用户登录 Google 时执行的安全检查。这些额外的检查将确保只有目标用户才能访问他们的帐户,无论是通过浏览器、设备还是应用程序。这些更改将影响任何向 Google 发送用户名和/或密码的应用程序

就其本身而言,我并不反对这个想法,但我希望了解更多信息,应用程序需要做什么才能被认为是安全的,这样我们就可以要求我们的应用程序提供商实施必要的更改......

此处有关该主题的更多信息:GMail 开始阻止不太安全的应用程序:如何再次启用访问

更令人费解的是,我的“其他”Gmail 帐户不会触发此类邮件,因为我没有启用 2FA,所以根据上一篇文章,我应该遇到一些错误!

2014 年 12 月31 日更新,格林威治标准时间 17:52:出于好奇,我检查了我的旧 Gmail 帐户的设置,我发现它实际上设置为“安全性较低”(正如谷歌所说)。我猜当谷歌推出该功能时,“不太安全”(根据谷歌条款)客户端正在访问的现有帐户的默认设置是允许它们继续被访问。

另一方面,正如原始 Google Blog Post 上的一些评论所说,Google 担心我们的安全性很好,但可以从支持 CRAM-MD5 或 DIGEST-MD5 等用于身份验证的东西开始,而不仅仅是简单的 LOGIN .

人们正在使用未采取适当措施保护 GMail 用户凭据的移动应用程序。所以谷歌正在采取它唯一能做的事情:通过禁止应用程序乱扔用户和密码并强制使用它信任的身份验证方法(他们自己的!)来结束恶意黑客的乐趣。

这些应用程序的问题不是一个,而是各种问题:有些不使用 ssl/tls 进行数据加密,有些则允许黑客在通信中进行中介,等等。

通过这样做,他们允许攻击者获取用户的 GMail 凭据,从而导致帐户受损。

所以谷歌从 Authentication 方法变成了 Authorization 方法,看起来类似于 GitHub 使用的方法。

其它你可能感兴趣的问题
上一篇各大网站如何防范 DDoS? 下一篇公司不希望网络钓鱼报告中出现任何名称