アプリケーション固有のパスワードは、思ったよりも危険です。それらの名前にもかかわらず、それらはアプリケーション固有のものではありません。アプリケーション固有の各パスワードは、アカウントへの無制限のアクセスを提供するスケルトンキーのようなものです。
「アプリケーション固有のパスワード」は、奨励するためにそのように名付けられています 優れたセキュリティ慣行 —それらを再利用することは想定されていません。しかし、その名前は多くの人々に誤った安心感を与える可能性もあります。
アプリケーション固有のパスワードが必要な理由
二要素認証 —または2段階認証プロセス、またはサービスが呼び出すもの—アカウントにログインするには、2つのことが必要です。最初にパスワードを入力してから、スマートフォンアプリによって生成された、SMS経由で送信された、または電子メールで送信された1回限りのコードを入力する必要があります。
これは、サービスのWebサイトまたは互換性のあるアプリケーションにログインしたときの通常の動作です。パスワードを入力すると、ワンタイムコードの入力を求められます。コードを入力すると、デバイスは、アプリケーションやブラウザが認証されていると見なすOAuthトークン、またはそのようなものを受け取ります。実際にはパスワードは保存されません。
関連: これらの16のWebサービスで2段階認証プロセスを使用して自分自身を保護します
ただし、一部のアプリケーションは、この2段階のスキームと互換性がありません。たとえば、デスクトップメールクライアントを使用してGmail、Outlook.com、またはiCloudメールにアクセスするとします。これらの電子メールクライアントは、パスワードを要求することで機能し、そのパスワードを保存して、サーバーにアクセスするたびに使用します。これらの古いアプリケーションに2段階の確認コードを入力する方法はありません。
これを修正するには、Google、Microsoft、Apple、およびその他のさまざまな 2段階の検証を提供するアカウントプロバイダー また、「アプリケーション固有のパスワード」を生成する機能も提供します。次に、このパスワードをアプリケーション(たとえば、選択したデスクトップ電子メールクライアント)に入力すると、そのアプリケーションはアカウントに問題なく接続できます。問題が解決しました—2段階認証と互換性のないアプリケーションが2段階認証で動作するようになりました。
ちょっと待って、何が起こったの?
関連: 2要素認証を使用するときにロックアウトされないようにする方法
ほとんどの人はおそらく途中で続行し、2要素認証を使用していることを知って安全であり、安全です。ただし、その「アプリケーション固有のパスワード」は、実際には、2要素認証を完全にバイパスして、アカウント全体へのアクセスを提供する新しいパスワードです。これは、これらのアプリケーション固有のパスワードにより、パスワードの記憶に依存する古いアプリケーションが機能する方法です。
バックアップコード また、2要素認証をバイパスすることもできますが、使用できるのはそれぞれ1回のみです。バックアップコードとは異なり、アプリケーション固有のパスワードは、永久に、または手動で取り消すまで使用できます。
アプリケーション固有のパスワードと呼ばれる理由
これらは、使用するアプリケーションごとに新しいパスワードを生成することになっているため、アプリケーション固有のパスワードと呼ばれることがよくあります。そのため、Googleやその他のサービスでは、生成したこれらのアプリケーション固有のパスワードを実際に表示することはできません。それらは一度ウェブサイトに表示され、アプリケーションに入力すると、理想的には二度と表示されなくなります。次回そのようなアプリケーションを使用する必要があるときは、新しいアプリのパスワードを生成するだけです。
これはいくつかのセキュリティ上の利点を提供します。アプリケーションの使用が終了したら、ここのボタンを使用してアプリケーション固有のパスワードを「取り消す」ことができます。そのパスワードは、アカウントへのアクセスを許可しなくなります。古いパスワードを使用するアプリケーションは機能しません。下のスクリーンショットのアプリのパスワードは取り消されているため、見せびらかしても安全です。
アプリケーション固有のパスワードは、2要素認証をまったく使用しないよりも確かに大きな改善です。アプリケーション固有のパスワードを提供することは、すべてのアプリケーションにプライマリパスワードを提供するよりも優れています。メインのパスワードを完全に変更するよりも、アプリ固有のパスワードを取り消す方が簡単です。
リスク
アプリケーション固有のパスワードを5つ生成している場合、アカウントへのアクセスに使用できるパスワードは5つあります。リスクは明らかです。
- パスワードが侵害された場合、アカウントへのアクセスに使用される可能性があります。たとえば、Googleアカウントに2要素認証が設定されていて、コンピューターがマルウェアに感染しているとします。通常、2要素認証はアカウントを保護しますが、マルウェアはThunderbirdやPidginなどのアプリケーションに保存されているアプリケーション固有のパスワードを収集する可能性があります。これらのパスワードを使用して、アカウントに直接アクセスできます。
- コンピューターにアクセスできる誰かが、アプリケーション固有のパスワードを生成し、それを保持して、将来、2要素認証なしでアカウントにアクセスする可能性があります。アプリケーション固有のパスワードを生成してパスワードを取得しているときに誰かがあなたの肩越しに見ていた場合、その人はあなたのアカウントにアクセスできます。
- サービスまたはアプリケーションにアプリケーション固有のパスワードを提供し、そのアプリケーションが悪意のあるものである場合、アカウントへの単一のアプリケーションアクセスを許可しただけではありません。アプリケーションの所有者がパスワードを渡し、他の人が悪意のある目的でパスワードを使用する可能性があります。 。
一部のサービスは、アプリケーション固有のパスワードを使用してWebログインを制限しようとする場合がありますが、それは単なるバンドエイドです。最終的に、アプリケーション固有のパスワードは、設計上、アカウントへの無制限のアクセスを提供し、それを防ぐためにできることはあまりありません。
ここでは、あなたをあまり怖がらせようとはしていません。ただし、アプリケーション固有のパスワードの現実は、アプリケーション固有ではないということです。これらはセキュリティリスクであるため、使用しなくなったアプリケーション固有のパスワードを取り消す必要があります。それらに注意し、アカウントのマスターパスワードのように扱ってください。
