it-swarm.com.de

Was sind die Gefahren, wenn "weniger sichere Apps" auf mein Google-Konto zugreifen können?

Laut https://support.google.com/accounts/answer/6010255 :

Google blockiert möglicherweise Anmeldeversuche von einigen Apps oder Geräten, die keine modernen Sicherheitsstandards verwenden. Da es einfacher ist, in diese Apps und Geräte einzubrechen, können Sie sie durch Blockieren sicherer machen.

Was sind diese "modernen Sicherheitsstandards" und warum ist es gefährlich, Apps zuzulassen, die sie nicht unterstützen? Ist es auch gefährlich, die Option zu aktivieren (weniger sichere Apps zulassen), wenn Sie diese Apps nicht verwenden? Wenn ja warum?

Ich glaube, es könnte OAuth2.0 über IMAP sein (laut this Seite). Soweit ich weiß, ist dies die eigene Erweiterung von Google und wird von keinem anderen Dienstanbieter verwendet.

In meinem speziellen Fall habe ich versucht, mit Kmail (v4.14.0) und IMAP auf mein Google Mail-Konto zuzugreifen.

74
Hjulle

Nach meinem Verständnis bezieht sich "weniger sichere Apps" auf Anwendungen, die Ihre Anmeldeinformationen direkt an Google Mail senden. Viele Dinge können schief gehen, wenn Sie Ihre Anmeldeinformationen an Dritte weitergeben, um sie an die Authentifizierungsstelle weiterzugeben: Der Dritte kann die Anmeldeinformationen im Speicher behalten, ohne Ihnen mitzuteilen, dass er Ihre Anmeldeinformationen für Zwecke außerhalb des angegebenen Anwendungsbereichs verwendet Senden Sie Ihre Anmeldeinformationen möglicherweise ohne Verschlüsselung usw. über ein Netzwerk.

Darüber hinaus kann es sich um eine App handeln, die ein Benutzer lokal installiert hat, z. B. einen IMAP-Client (siehe den folgenden Support-Hinweis von Google: https://support.google.com/accounts/answer/6010255?hl=de) )

"Weniger sicher" bedeutet nicht, dass Apps, die Ihre Anmeldeinformationen verwenden, notwendigerweise voller Sicherheitslücken sind oder von Kriminellen ausgeführt werden. Vielmehr ist es die Verhaltenskategorie - Ihre Anmeldeinformationen an Dritte weiterzugeben - das ist grundsätzlich weniger sicher als die Verwendung eines Autorisierungsmechanismus wie OAuth. Mit der Autorisierung lassen Sie niemals zu, dass Dritte Ihre Anmeldeinformationen sehen, sodass eine ganze Kategorie von Problemen sofort beseitigt wird.

In OAuth authentifizieren Sie sich mit Ihren Anmeldeinformationen direkt bei Google Mail und autorisieren eine App, bestimmte Aufgaben auszuführen. Die Drittanbieter-App sieht ein von Google bereitgestelltes Autorisierungstoken nur als Beweis dafür, dass Sie sich korrekt authentifiziert und der Autorisierung dieser App zugestimmt haben.

Ich bin mir nicht ganz sicher, warum es gefährlich wäre, aktivieren weniger sichere Apps (im Vergleich zu Verwenden einer bestimmten App, die möglicherweise nicht vertrauenswürdig ist. Die Verweigerung der Authentifizierung durch Google erfolgt, nachdem Sie Ihre Anmeldeinformationen bereits an die Anwendung weitergegeben haben. Es scheint mir, dass es jedes Mal, wenn Sie Ihre Anmeldeinformationen an Dritte weitergeben, keine Rolle spielt, ob Sie die Authentifizierung durch "weniger sichere Apps" zugelassen haben oder nicht - jemand kann einfach einen Anmeldebildschirm laden und sich direkt anmelden in wie du. Die einzigen möglichen Fälle, an die ich denken kann, sind:

  • Möglicherweise werden "app-basierte" Anmeldeversuche anders behandelt als "menschenbasierte" Anmeldeversuche, insbesondere wie sie plötzliche Standortänderungen behandeln. Möglicherweise verfügt die "weniger sichere" App, die Sie verwenden möchten, über Server auf einem anderen Kontinent. Daher ist es für Google Mail nicht verdächtig, wenn eine App versucht, sich wie Sie an einem anderen Kontinent anzumelden, während versucht wird, den Anmeldebildschirm von einem anderen Kontinent aus zu verwenden Ein Mensch wäre misstrauisch.

  • Möglicherweise umfassen "weniger sichere" Authentifizierungsmethoden eine andere Anmeldemethode, die Ihre Anmeldeinformationen nicht direkt an Dritte weitergibt, jedoch auf andere Weise weniger sicher ist als OAuth 2.0) (z. Sie sind anfällig für das Abhören durch einen Angreifer oder erleichtern einem Angreifer den Zugriff auf Ihr Konto, ohne Ihr Passwort zu kennen.

Diese beiden Punkte sind reine Vermutungen und sehr wohl nicht wahr in Tatsache.

50
apsillers

Ich habe nicht genug Ruf, um Kommentare abzugeben, aber ich möchte meine eigenen Erfahrungen hinzufügen, wenn ich das Problem "gefunden" habe ...

Ich habe einen neuen E-Mail-Client eingerichtet Airmail 2. , um mithilfe des SMTP-Servers von Google E-Mails im Namen eines Google Mail-Kontos zu senden.

Jetzt ist mein Setup möglicherweise nicht zu " common": Ich habe diese spezifische Google Mail-Adresse an eine andere Adresse weitergeleitet, die ich von Airmail verwende, und ich setze die Google Mail-Adresse als "Alias" dieses Kontos. Mit Airmail können Sie wahrscheinlich vermeiden, wie Spam auszusehen, und einen bestimmten SMTP-Server konfigurieren, der beim Senden eines Alias ​​" from" verwendet werden soll.

Ich habe ein anderes Google Mail-Konto auf Airmail ohne "funky" Konfiguration oder Weiterleitungen eingerichtet, und dieses funktioniert einwandfrei (keine Nachrichten über "reduzierte Sicherheit" zum Beispiel). Also habe ich die SMTP-Einstellungen vom "normalen" Konto auf das neue kopiert:

Dies sind die Einstellungen für das "klassische" Konto:

Old Gmail Account SMTP Settings

Und dies sind diejenigen für den "Alias" SMTP-Server:

New Gmail Account SMTP Settings

Beachten Sie Unterschiede? Ich auch nicht!!

Ich habe mich umgesehen und auch die zuvor erwähnte Seite gefunden, Googles Sicherheitsartikel Neue Sicherheitsmaßnahmen wirken sich auf ältere (Nicht-OAuth 2.0) Anwendungen aus wo die Änderung angekündigt wird - dies Absatz (Hervorhebung von mir!) scheint zu implizieren, dass Apps "autorisiert" werden müssen, um auf das Konto zuzugreifen, ähnlich wie es viele andere "App-Clients" (Dropbox usw.) tun:

Aus diesem Grund werden wir ab der zweiten Jahreshälfte 2014 die Sicherheitsüberprüfungen, die durchgeführt werden, wenn sich Nutzer bei Google anmelden, schrittweise erhöhen. Diese zusätzlichen Überprüfungen stellen sicher, dass nur der beabsichtigte Benutzer über einen Browser, ein Gerät oder eine Anwendung Zugriff auf sein Konto hat. Diese Änderungen wirken sich auf alle Anwendungen aus, die einen Benutzernamen und/oder ein Passwort an Google senden .

Ich bin nicht gegen die Idee an sich, aber ich würde mich über weitere Informationen darüber freuen, was Apps tun müssen, um als sicher angesehen zu werden, damit wir unsere App-Anbieter bitten können, die erforderlichen Änderungen vorzunehmen. ..

Weitere Informationen zum Thema hier: GMail blockiert weniger sichere Apps: So aktivieren Sie den Zugriff erneut .

Noch rätselhafter ist, dass mein "anderes" Google Mail-Konto diese Art von Nachrichten nicht auslöst, da ich 2FA nicht aktiviert habe. Laut dem vorherigen Artikel hätte ich einige dieser Fehler haben sollen!

AKTUALISIERT 31.12.2014, 17:52 GMT : Aus Neugier habe ich die Einstellungen für mein altes Google Mail-Konto überprüft und ich habe gesehen, dass es tatsächlich auf "weniger Sicherheit" eingestellt ist (wie Google es nennt). Ich denke, als Google die Funktion einführte, besteht die Standardeinstellung für vorhandene Konten, auf die " weniger sicher" (gemäß Google-Bedingungen) Kunden zugreifen, darin, ihnen den Zugriff zu ermöglichen .

Auf der anderen Seite, wie einige Kommentare im ursprünglichen Google Blog Post sagen, ist es großartig, dass Google sich Sorgen um unsere Sicherheit macht, aber das hätte damit beginnen können, Dinge wie CRAM-MD5 oder DIGEST-MD5 für die Authentifizierung zu unterstützen, anstatt nur LOGIN .

5
JJarava

Benutzer verwenden mobile Apps, die keine geeigneten Maßnahmen ergreifen, um die Anmeldeinformationen von GMail-Benutzern zu sichern. Google nimmt also das Einzige, was es tun kann: den Spaß an böswilligen Hackern zu beenden, indem Apps daran gehindert werden, Benutzer und Kennwörter herumzuwerfen, und die Verwendung einer Authentifizierungsmethode erzwungen wird, der es vertraut (ihrer eigenen!).

Das Problem mit diesen Apps ist nicht eines, sondern verschiedene: Einige verwenden ssl/tls nicht für die Datenverschlüsselung, andere erlauben Hackern, die Kommunikation zu unterbrechen usw.

Auf diese Weise können Angreifer die GMail-Anmeldeinformationen des Benutzers erfassen, was zu einer Kompromittierung der Konten führt.

Daher hat Google von einer Authentifizierung zu einer Autorisierungsmethode gewechselt, die der von GitHub verwendeten ähnelt.

0
DarkLighting