Avviso: le "password specifiche dell'applicazione" non sono specifiche dell'applicazione

Nov 2, 2024
Privacy e sicurezza
CONTENUTO UNCACHED

Le password specifiche dell'applicazione sono più pericolose di quanto sembri. Nonostante il loro nome, sono tutt'altro che specifici dell'applicazione. Ogni password specifica per l'applicazione è più simile a una chiave di scheletro che fornisce accesso illimitato al tuo account.

Le "password specifiche dell'applicazione" sono così chiamate per incoraggiare buone pratiche di sicurezza - non dovresti riutilizzarli. Tuttavia, il nome può anche fornire un falso senso di sicurezza a molte persone.

Perché sono necessarie password specifiche per le applicazioni

RELAZIONATO: Che cos'è l'autenticazione a due fattori e perché ne ho bisogno?

Autenticazione a due fattori - o la verifica in due passaggi, o come la chiama un servizio - richiede due cose per accedere al tuo account. Devi prima inserire la tua password, quindi devi inserire un codice monouso generato da un'app per smartphone, inviato tramite SMS o inviato via email.

Questo è il modo in cui funziona normalmente quando accedi al sito Web di un servizio o a un'applicazione compatibile. Inserisci la tua password e poi ti viene richiesto il codice monouso. Inserisci il codice e il tuo dispositivo riceve un token OAuth che considera l'applicazione o il browser autenticato, o qualcosa del genere, in realtà non memorizza la password.

RELAZIONATO: Proteggiti utilizzando la verifica in due passaggi su questi 16 servizi Web

Tuttavia, alcune applicazioni non sono compatibili con questo schema in due passaggi. Ad esempio, supponiamo che tu voglia utilizzare un client di posta elettronica desktop per accedere all'email di Gmail, Outlook.com o iCloud. Questi client di posta elettronica funzionano chiedendoti una password, quindi la memorizzano e la usano ogni volta che accedono al server. Non è possibile inserire un codice di verifica in due passaggi in queste applicazioni meno recenti.

Per risolvere questo problema, Google, Microsoft, Apple e vari altri fornitori di account che offrono la verifica in due passaggi offrono anche la possibilità di generare una "password specifica per l'applicazione". Quindi inserisci questa password nell'applicazione, ad esempio, il tuo client di posta elettronica desktop preferito e l'applicazione può connettersi felicemente al tuo account. Problema risolto: le applicazioni che non sarebbero compatibili con l'autenticazione in due passaggi ora funzionano con esso.

Aspetta un minuto, cosa è appena successo?

RELAZIONATO: Come evitare di essere bloccati quando si utilizza l'autenticazione a due fattori

La maggior parte delle persone probabilmente continuerà per la propria strada, sicura della consapevolezza di utilizzare l'autenticazione a due fattori e di essere al sicuro. Tuttavia, quella "password specifica per l'applicazione" è in realtà una nuova password che fornisce l'accesso all'intero account, bypassando completamente l'autenticazione a due fattori. Questo è il modo in cui queste password specifiche per le applicazioni consentono alle applicazioni meno recenti che dipendono dalla memorizzazione delle password di funzionare.

Codici di backup consentono anche di bypassare l'autenticazione a due fattori, ma possono essere utilizzati solo una volta ciascuno. A differenza dei codici di backup, le password specifiche dell'applicazione possono essere utilizzate per sempre o fino a quando non le revochi manualmente.

Perché vengono chiamate password specifiche dell'applicazione

Queste sono spesso chiamate password specifiche dell'applicazione perché dovresti generarne una nuova per ogni applicazione che utilizzi. Ecco perché Google e altri servizi non ti consentono di visualizzare effettivamente queste password specifiche per le applicazioni una volta che le hai generate. Vengono visualizzati una volta sul sito Web, vengono inseriti nell'applicazione e, idealmente, non li vedrai mai più. La prossima volta che sarà necessario utilizzare un'applicazione di questo tipo, sarà sufficiente generare una nuova password per l'app.

Ciò fornisce alcuni vantaggi in termini di sicurezza. Quando hai finito con un'applicazione, puoi utilizzare il pulsante qui per "Revocare" una password specifica per l'applicazione e quella password non concederà più l'accesso al tuo account. Tutte le applicazioni che utilizzano la vecchia password non funzioneranno. La password dell'app nello screenshot qui sotto è stata revocata, ecco perché è sicuro mostrarla.

Le password specifiche per le applicazioni sono certamente un grande miglioramento rispetto al non utilizzare affatto l'autenticazione a due fattori. Dare password specifiche per le applicazioni è meglio che fornire a ogni applicazione la password principale. È più facile revocare una password specifica per l'app che modificare completamente la password principale.

I rischi

Se sono state generate cinque password specifiche per l'applicazione, ci sono cinque password che possono essere utilizzate per accedere ai tuoi account I rischi sono evidenti:

  • Se la password è compromessa, potrebbe essere utilizzata per accedere al tuo account. Ad esempio, supponiamo che tu abbia impostato l'autenticazione a due fattori sul tuo account Google e il tuo computer sia infetto da malware. L'autenticazione a due fattori normalmente protegge il tuo account, ma il malware potrebbe raccogliere password specifiche per le applicazioni memorizzate in applicazioni come Thunderbird e Pidgin. Tali password potrebbero quindi essere utilizzate per accedere direttamente al tuo account.
  • Qualcuno con accesso al tuo computer potrebbe generare una password specifica per l'applicazione e quindi conservarla, utilizzandola per accedere al tuo account senza l'autenticazione a due fattori in futuro. Se qualcuno ti guardava alle spalle mentre generavi una password specifica per l'applicazione e acquisivi la tua password, avrebbe avuto accesso al tuo account.
  • Se fornisci una password specifica per un'applicazione a un servizio o un'applicazione e tale applicazione è dannosa, non hai solo concesso a una singola applicazione l'accesso al tuo account: il proprietario dell'applicazione potrebbe passare la password e altre persone potrebbero usarla per scopi dannosi .

Alcuni servizi potrebbero tentare di limitare gli accessi web con password specifiche dell'applicazione, ma questo è più un cerotto. In definitiva, le password specifiche delle applicazioni forniscono accesso illimitato al tuo account in base alla progettazione e non c'è molto che si può fare per impedirlo.

Non stiamo cercando di spaventarti troppo, qui. Ma la realtà delle password specifiche delle applicazioni è che non sono specifiche dell'applicazione. Rappresentano un rischio per la sicurezza, quindi dovresti revocare le password specifiche per le applicazioni che non utilizzi più. Fai attenzione con loro e trattale come le password principali del tuo account che sono.

Privacy e sicurezza - Articoli più popolari

Come impedire alla tua home page di Google di registrare tutte le tue conversazioni

Privacy e sicurezza May 12, 2025

CONTENUTO UNCACHED Josh Hendrickson Google potrebbe archiviare tutto ciò che dici su Google Home e conservare le registrazioni per sempre, proprio come ..

Come rimuovere virus e malware sul tuo PC Windows

Privacy e sicurezza Nov 12, 2024

Sia che tu abbia visto un messaggio che dice che è stato rilevato un virus o che il tuo computer sembri lento e inaffidabile, ti consigliamo di cercare malware sul tuo PC e rimuove..

Come aggiungere contatti di emergenza al sistema di sicurezza domestica della tua residenza

Privacy e sicurezza Jul 13, 2025

CONTENUTO UNCACHED Se paghi per il monitoraggio professionale con il tuo Dimora sistema di sicurezza domestica , puoi impostare contatti di emergenza che vengono av..

10 usi intelligenti per i sensori Samsung SmartThings

Privacy e sicurezza Jun 19, 2025

SmartThings è una piattaforma smarthome di Samsung che ti consente di configurare sensori e altri dispositivi per automatizzare determinate attività e proteggere la tu..

Perché dovresti usare un gestore di password e come iniziare

Privacy e sicurezza Jul 10, 2025

La maggior parte delle persone utilizza password molto deboli e le riutilizza su diversi siti web. Come dovresti usare password complesse e univoche su tutti i siti web che utilizzi..

Download.com e altri raggruppano l'adware di rottura HTTPS in stile Superfish

Privacy e sicurezza May 20, 2025

CONTENUTO UNCACHED È un momento spaventoso per essere un utente Windows. Lenovo stava raggruppando l'adware Superfish che dirotta HTTPS , Comodo viene forn..

Come impedire a Facebook di suggerire il tuo nome nelle foto di altre persone

Privacy e sicurezza Feb 11, 2025

CONTENUTO UNCACHED Facebook ha una funzione che analizza le foto caricate dai tuoi amici utilizzando la sua tecnologia di riconoscimento facciale. Se il tuo viso viene riconosciut..

Utilizza il Controllo genitori per filtrare i siti Web in Windows Vista

Privacy e sicurezza Jul 15, 2025

CONTENUTO UNCACHED Il nuovo Controllo genitori in Windows Vista ti consentirà di filtrare il contenuto che i tuoi figli possono visualizzare sul web. Potresti, ad esempio, impedire ai tuoi..

Categorie