As senhas específicas do aplicativo são mais perigosas do que parecem. Apesar do nome, eles são tudo menos específicos do aplicativo. Cada senha específica do aplicativo é mais como uma chave-mestra que fornece acesso irrestrito à sua conta.
As “senhas específicas do aplicativo” são assim chamadas para encorajar boas práticas de segurança - você não deve reutilizá-los. No entanto, o nome também pode fornecer uma falsa sensação de segurança para muitas pessoas.
Por que as senhas específicas do aplicativo são necessárias
RELACIONADOS: O que é autenticação de dois fatores e por que eu preciso dela?
Autenticação de dois fatores - ou a verificação em duas etapas, ou o que quer que seja chamado de serviço - requer duas coisas para fazer login em sua conta. Você deve primeiro inserir sua senha e, em seguida, inserir um código de uso único gerado por um aplicativo de smartphone, enviado por SMS ou enviado por e-mail para você.
É assim que normalmente funciona quando você faz login no site de um serviço ou em um aplicativo compatível. Você insere sua senha e, em seguida, é solicitado o código único. Você insere o código e seu dispositivo recebe um token OAuth que considera o aplicativo ou navegador autenticado, ou algo parecido - ele não armazena a senha.
RELACIONADOS: Proteja-se usando a verificação em duas etapas nesses 16 serviços da Web
No entanto, alguns aplicativos não são compatíveis com este esquema de duas etapas. Por exemplo, digamos que você queira usar um cliente de e-mail de desktop para acessar o Gmail, Outlook.com ou o e-mail iCloud. Esses clientes de e-mail pedem uma senha e, em seguida, armazenam essa senha e a usam sempre que acessam o servidor. Não há como inserir um código de verificação em duas etapas nesses aplicativos mais antigos.
Para corrigir isso, Google, Microsoft, Apple e vários outros provedores de contas que oferecem verificação em duas etapas também oferecem a capacidade de gerar uma "senha específica do aplicativo". Você então insere essa senha no aplicativo - por exemplo, seu cliente de e-mail de desktop de escolha - e esse aplicativo pode conectar-se facilmente à sua conta. Problema resolvido - aplicativos que não seriam compatíveis com a autenticação em duas etapas agora funcionam com ela.
Espere um minuto, o que aconteceu?
RELACIONADOS: Como evitar ser bloqueado ao usar a autenticação de dois fatores
A maioria das pessoas provavelmente continuará seu caminho, com a certeza de que está usando a autenticação de dois fatores e que está protegida. No entanto, essa "senha específica do aplicativo" é na verdade uma nova senha que fornece acesso a toda a sua conta, ignorando totalmente a autenticação de dois fatores. É assim que essas senhas específicas de aplicativos permitem que aplicativos mais antigos que dependem de se lembrar de senhas funcionem.
Códigos de backup também permitem que você ignore a autenticação de dois fatores, mas eles só podem ser usados uma vez cada. Ao contrário dos códigos de backup, as senhas específicas do aplicativo podem ser usadas para sempre - ou até que você as revogue manualmente.
Por que eles são chamados de senhas específicas do aplicativo
Muitas vezes são chamadas de senhas específicas do aplicativo porque você deve gerar uma nova para cada aplicativo que usar. É por isso que o Google e outros serviços não permitem que você realmente visualize essas senhas específicas do aplicativo depois de gerá-las. Eles são exibidos no site uma vez, você os insere no aplicativo e, idealmente, nunca mais os verá. Na próxima vez que você precisar usar tal aplicativo, basta gerar uma nova senha de aplicativo.
Isso oferece algumas vantagens de segurança. Quando terminar de usar um aplicativo, você pode usar o botão aqui para “Revogar” uma senha específica do aplicativo e essa senha não concederá mais acesso à sua conta. Todos os aplicativos que usam a senha antiga não funcionam. A senha do app na captura de tela abaixo foi revogada, por isso é seguro mostrá-la.
As senhas específicas do aplicativo são certamente uma grande melhoria em relação ao fato de não usar a autenticação de dois fatores. Distribuir senhas específicas de aplicativos é melhor do que fornecer a cada aplicativo sua senha principal. É mais fácil revogar uma senha específica do aplicativo do que alterar sua senha principal completamente.
Os riscos
Se você tiver cinco senhas específicas do aplicativo geradas, há cinco senhas que podem ser usadas para acessar suas contas. Os riscos são claros:
- Se a senha estiver comprometida, ela pode ser usada para acessar sua conta. Por exemplo, digamos que você tenha a autenticação de dois fatores configurada em sua conta do Google e seu computador esteja infectado por malware. A autenticação de dois fatores normalmente protegeria sua conta, mas o malware poderia colher senhas específicas de aplicativos armazenadas em aplicativos como Thunderbird e Pidgin. Essas senhas podem então ser usadas para acessar diretamente sua conta.
- Alguém com acesso ao seu computador pode gerar uma senha específica do aplicativo e segurá-la, usando-a para entrar em sua conta sem a autenticação de dois fatores no futuro. Se alguém estivesse olhando por cima do seu ombro enquanto você gerava uma senha específica do aplicativo e capturava sua senha, essa pessoa teria acesso à sua conta.
- Se você fornecer uma senha específica do aplicativo a um serviço ou aplicativo e esse aplicativo for malicioso, você não concedeu apenas a um único aplicativo acesso à sua conta - o proprietário do aplicativo pode passar a senha adiante e outras pessoas podem usá-la para fins maliciosos .
Alguns serviços podem tentar restringir os logins da web com senhas específicas do aplicativo, mas isso é mais como uma bandaid. Em última análise, as senhas específicas do aplicativo fornecem acesso irrestrito à sua conta por design, e não há muito o que fazer para evitá-lo.
Não estamos tentando assustá-lo muito, aqui. Mas a realidade das senhas específicas do aplicativo é que elas não são específicas do aplicativo. Eles são um risco à segurança, então você deve revogar as senhas específicas do aplicativo que não usa mais. Tenha cuidado com eles e trate-os como senhas mestras para sua conta que eles são.
