סיסמאות ספציפיות ליישום מסוכנות מכפי שהן נשמעות. למרות שמם, הם הכל חוץ מספציפי ליישום. כל סיסמה ספציפית ליישום דומה יותר למפתח שלד המספק גישה בלתי מוגבלת לחשבונך.
"סיסמאות ספציפיות ליישום" נקראות כך לעידוד נוהלי אבטחה טובים - אתה לא אמור לעשות בהם שימוש חוזר. עם זאת, השם עשוי גם לספק תחושת ביטחון כוזבת לאנשים רבים.
מדוע סיסמאות ספציפיות ליישום נחוצות
קָשׁוּר: מהי אימות דו-גורמי ומדוע אני צריך את זה?
אימות דו-גורמי - או אימות דו-שלבי, או מה ששירות מכנה זאת - דורש שני דברים כדי להתחבר לחשבונך. תחילה עליך להזין את הסיסמה שלך ולאחר מכן להזין קוד חד פעמי שנוצר על ידי אפליקציית סמארטפון, נשלח באמצעות SMS או נשלח אליך בדוא"ל.
כך זה בדרך כלל עובד כשאתה נכנס לאתר שירות או ליישום תואם. אתה מזין את הסיסמה שלך ואז תתבקש להזין את הקוד החד פעמי. אתה מזין את הקוד והמכשיר שלך מקבל אסימון OAuth הרואה באפליקציה או בדפדפן מאומת, או משהו כזה - הוא לא באמת מאחסן את הסיסמה.
קָשׁוּר: אבטח את עצמך באמצעות אימות דו-שלבי ב -16 שירותי האינטרנט הללו
עם זאת, יישומים מסוימים אינם תואמים לתכנית דו-שלבית זו. לדוגמא, נניח שאתה רוצה להשתמש בלקוח דוא"ל שולחני כדי לגשת לדוא"ל של Gmail, Outlook.com או iCloud. לקוחות דוא"ל אלה עובדים על ידי בקשת סיסמה ואז הם שומרים את הסיסמה ומשתמשים בה בכל פעם שהם ניגשים לשרת. אין דרך להזין קוד אימות דו-שלבי ליישומים ישנים אלה.
כדי לתקן זאת, גוגל, מיקרוסופט, אפל, ועוד ספקי חשבונות המציעים אימות דו-שלבי מציעים גם אפשרות ליצור "סיסמה ספציפית ליישום". לאחר מכן אתה מזין סיסמה זו ליישום - למשל, לקוח הדוא"ל השולחני שבחרת - ויישום זה יכול להתחבר בשמחה לחשבונך. הבעיה נפתרה - יישומים שלא יהיו תואמים לאימות דו שלבי עובדים כעת איתם.
חכה רגע, מה בדיוק קרה?
קָשׁוּר: כיצד להימנע מנעילה בעת שימוש באימות דו-גורמי
ככל הנראה רוב האנשים ימשיכו בדרכם, בטוחים בידע שהם משתמשים באימות דו-גורמי והם בטוחים. עם זאת, אותה "סיסמה ספציפית ליישום" היא למעשה סיסמה חדשה המספקת גישה לכל חשבונך, תוך עקיפת אימות דו-גורמי לחלוטין. כך סיסמאות ספציפיות ליישום אלו מאפשרות ליישומים ישנים יותר שתלויים בזכירת סיסמאות לתפקד.
קודי גיבוי מאפשר גם לעקוף אימות דו-גורמי, אך ניתן להשתמש בהם פעם אחת בלבד. שלא כמו קודי גיבוי, ניתן להשתמש בסיסמאות ספציפיות ליישום לנצח - או עד שתבטל אותן ידנית.
מדוע קוראים להם סיסמאות ספציפיות ליישום
אלה נקראים לעתים קרובות סיסמאות ספציפיות ליישום מכיוון שאתה אמור ליצור אחת חדשה עבור כל יישום שבו אתה משתמש. זו הסיבה שגוגל ושירותים אחרים אינם מאפשרים לך להציג את הסיסמאות הספציפיות ליישומים אלה ברגע שיצרת אותן. הם מוצגים באתר פעם אחת, אתה מזין אותם ביישום ואז באופן אידיאלי לעולם לא תראה אותם שוב. בפעם הבאה שתצטרך להשתמש ביישום כזה, פשוט תיצור סיסמת אפליקציה חדשה.
זה אכן מספק כמה יתרונות אבטחה. כשתסיים עם יישום, תוכל להשתמש בכפתור כאן כדי "לבטל" סיסמה ספציפית ליישום וסיסמה זו כבר לא תעניק גישה לחשבונך. יישומים המשתמשים בסיסמה הישנה לא יפעלו. סיסמת האפליקציה בצילום המסך שלמטה בוטלה, ולכן לכן בטוח להשוויץ בה.
סיסמאות ספציפיות ליישום הן ללא ספק שיפור גדול בהשוואה לאי שימוש בשני גורמים כלל. ויתור על סיסמאות ספציפיות ליישום עדיף מאשר לתת לכל יישום את הסיסמה הראשית שלך. קל יותר לבטל סיסמה ספציפית לאפליקציה מאשר לשנות לחלוטין את הסיסמה הראשית שלך.
הסיכונים
אם נוצרות לך חמש סיסמאות ספציפיות ליישום, ישנן חמש סיסמאות שניתן להשתמש בהן כדי לגשת לחשבונות שלך. הסיכונים ברורים:
- אם הסיסמה נפגעת, ניתן להשתמש בה כדי לגשת לחשבונך. לדוגמא, נניח שהגדרת אימות דו-גורמי בחשבון Google שלך והמחשב שלך נגוע בתוכנה זדונית. אימות דו-גורמי בדרך כלל יגן על חשבונך, אך התוכנה הזדונית יכולה לקצור סיסמאות ספציפיות ליישומים המאוחסנות ביישומים כמו Thunderbird ו- Pidgin. לאחר מכן ניתן להשתמש בסיסמאות אלה כדי לגשת ישירות לחשבונך.
- מישהו עם גישה למחשב שלך יכול ליצור סיסמה ספציפית ליישום ואז להחזיק אותה ולהשתמש בה כדי להיכנס לחשבונך ללא אימות דו-גורמי בעתיד. אם מישהו הביט מעבר לכתף בזמן שיצרת סיסמה ספציפית ליישום ותפס את הסיסמה שלך, היה להם גישה לחשבונך.
- אם אתה מספק סיסמה ספציפית ליישום לשירות או ליישום ויישום זה הוא זדוני, לא רק נתת לאפליקציה גישה אחת לחשבונך - הבעלים של היישום יכול להעביר את הסיסמה ואנשים אחרים יכולים להשתמש בה למטרות זדוניות. .
שירותים מסוימים עשויים לנסות להגביל כניסות אינטרנט באמצעות סיסמאות ספציפיות ליישום, אך זה יותר מלהקת. בסופו של דבר, סיסמאות ספציפיות ליישום מספקות גישה בלתי מוגבלת לחשבונך לפי תכנון, ואין הרבה מה לעשות כדי למנוע זאת.
אנחנו לא מנסים להפחיד אותך יותר מדי, כאן. אך המציאות של סיסמאות ספציפיות ליישום היא שהן אינן ספציפיות ליישום. הם מהווים סיכון ביטחוני, לכן עליך לבטל סיסמאות ספציפיות ליישום שאינך משתמש בהן יותר. היזהר איתם והתייחס אליהם כמו לסיסמאות הראשי לחשבונך שהן.
