Applicatiespecifieke wachtwoorden zijn gevaarlijker dan ze klinken. Ondanks hun naam zijn ze allesbehalve toepassingsspecifiek. Elk applicatiespecifiek wachtwoord lijkt meer op een skeletsleutel die onbeperkte toegang tot uw account biedt.
"Applicatiespecifieke wachtwoorden" worden zo genoemd om aan te moedigen goede beveiligingspraktijken - je mag ze niet hergebruiken. De naam kan echter voor veel mensen ook een vals gevoel van veiligheid geven.
Waarom applicatiespecifieke wachtwoorden nodig zijn
VERWANT: Wat is tweefactorauthenticatie en waarom heb ik het nodig?
Twee-factor-authenticatie - of tweestapsverificatie, of hoe een service het ook noemt - vereist twee dingen om in te loggen op uw account. U moet eerst uw wachtwoord invoeren en vervolgens een eenmalige code invoeren die is gegenereerd door een smartphone-app, via sms is verzonden of naar u is gemaild.
Dit is hoe het normaal werkt wanneer u inlogt op de website van een dienst of een compatibele applicatie. U voert uw wachtwoord in en vervolgens wordt u om de eenmalige code gevraagd. U voert de code in en uw apparaat ontvangt een OAuth-token dat de applicatie of browser als geverifieerd beschouwt, of iets dergelijks - het wachtwoord wordt niet echt opgeslagen.
VERWANT: Beveilig uzelf door tweestapsverificatie te gebruiken op deze 16 webservices
Sommige applicaties zijn echter niet compatibel met dit tweestappenplan. Stel dat u een desktop-e-mailclient wilt gebruiken om toegang te krijgen tot Gmail, Outlook.com of iCloud-e-mail. Deze e-mailclients werken door u om een wachtwoord te vragen en vervolgens slaan ze dat wachtwoord op en gebruiken het elke keer dat ze toegang krijgen tot de server. Er is geen manier om een tweestapsverificatiecode in te voeren in deze oudere applicaties.
Om dit op te lossen, Google, Microsoft, Apple en verschillende andere accountproviders die tweestapsverificatie aanbieden bieden ook de mogelijkheid om een 'applicatiespecifiek wachtwoord' te genereren. U voert dit wachtwoord vervolgens in de applicatie in - bijvoorbeeld uw desktop-e-mailclient naar keuze - en die applicatie kan gemakkelijk verbinding maken met uw account. Probleem opgelost: applicaties die niet compatibel zouden zijn met authenticatie in twee stappen, werken er nu mee.
Wacht even, wat is er net gebeurd?
VERWANT: Hoe u kunt voorkomen dat u wordt buitengesloten bij gebruik van tweestapsverificatie
De meeste mensen zullen waarschijnlijk hun weg vervolgen, in de wetenschap dat ze tweefactorauthenticatie gebruiken en veilig zijn. Dat 'applicatiespecifieke wachtwoord' is echter in feite een nieuw wachtwoord dat toegang geeft tot uw volledige account, waarbij tweefactorauthenticatie volledig wordt omzeild. Dit is hoe deze applicatiespecifieke wachtwoorden ervoor zorgen dat oudere applicaties die afhankelijk zijn van het onthouden van wachtwoorden, kunnen functioneren.
Back-upcodes u kunt ook tweefactorauthenticatie omzeilen, maar ze kunnen elk slechts één keer worden gebruikt. In tegenstelling tot back-upcodes kunnen applicatiespecifieke wachtwoorden voor altijd worden gebruikt - of totdat u ze handmatig intrekt.
Waarom ze applicatiespecifieke wachtwoorden heten
Dit worden vaak applicatiespecifieke wachtwoorden genoemd, omdat u voor elke applicatie die u gebruikt een nieuw wachtwoord moet genereren. Dat is de reden waarom Google en andere services u niet toestaan deze applicatiespecifieke wachtwoorden daadwerkelijk te bekijken nadat u ze heeft gegenereerd. Ze worden één keer op de website weergegeven, u voert ze in de applicatie in en dan ziet u ze idealiter nooit meer. De volgende keer dat u een dergelijke applicatie moet gebruiken, genereert u gewoon een nieuw app-wachtwoord.
Dit biedt enkele beveiligingsvoordelen. Wanneer u klaar bent met een applicatie, kunt u de knop hier gebruiken om een applicatiespecifiek wachtwoord te 'Intrekken' en dat wachtwoord geeft geen toegang meer tot uw account. Alle applicaties die het oude wachtwoord gebruiken, werken niet. Het app-wachtwoord in de onderstaande schermafbeelding is ingetrokken, dus daarom is het veilig om ermee te pronken.
Applicatiespecifieke wachtwoorden zijn zeker een grote verbetering ten opzichte van het helemaal niet gebruiken van tweefactorauthenticatie. Applicatiespecifieke wachtwoorden weggeven is beter dan elke applicatie uw primaire wachtwoord geven. Het is gemakkelijker om een app-specifiek wachtwoord in te trekken dan om uw hoofdwachtwoord volledig te wijzigen.
De risico's
Als u vijf applicatiespecifieke wachtwoorden heeft gegenereerd, zijn er vijf wachtwoorden die kunnen worden gebruikt om toegang te krijgen tot uw accounts. De risico's zijn duidelijk:
- Als het wachtwoord is gecompromitteerd, kan het worden gebruikt om toegang te krijgen tot uw account. Stel dat u tweefactorauthenticatie heeft ingesteld op uw Google-account en dat uw computer is geïnfecteerd door malware. De tweefactorauthenticatie beschermt normaal gesproken uw account, maar de malware kan applicatiespecifieke wachtwoorden verzamelen die zijn opgeslagen in applicaties zoals Thunderbird en Pidgin. Die wachtwoorden kunnen vervolgens worden gebruikt om rechtstreeks toegang te krijgen tot uw account.
- Iemand met toegang tot uw computer kan een applicatiespecifiek wachtwoord genereren en dit vervolgens gebruiken om in de toekomst toegang tot uw account te krijgen zonder de tweefactorauthenticatie. Als iemand over uw schouder meekijkde terwijl u een applicatiespecifiek wachtwoord genereerde en uw wachtwoord vastlegde, had hij toegang tot uw account.
- Als u een applicatiespecifiek wachtwoord aan een service of applicatie geeft en die applicatie is schadelijk, dan heeft u niet slechts één applicatie toegang tot uw account gegeven - de eigenaar van de applicatie kan het wachtwoord doorgeven en andere mensen kunnen het voor kwaadaardige doeleinden gebruiken .
Sommige services proberen mogelijk weblogins te beperken met applicatiespecifieke wachtwoorden, maar dat is meer een pleidooi. Uiteindelijk bieden applicatiespecifieke wachtwoorden per definitie onbeperkte toegang tot uw account, en er kan niet veel worden gedaan om dit te voorkomen.
We proberen je hier niet al te bang te maken. Maar de realiteit van applicatiespecifieke wachtwoorden is dat ze niet applicatiespecifiek zijn. Ze vormen een beveiligingsrisico, dus u moet applicatiespecifieke wachtwoorden die u niet meer gebruikt, intrekken. Wees voorzichtig met hen, en behandel ze als de hoofdwachtwoorden voor uw account die ze zijn.
