web-dev-qa-db-fra.com

IMAP / POP3 / ASP compromet-il l'authentification à deux facteurs?

Lorsque je me connecte à hotmail, à Google ou à posteo, je ne peux me connecter qu'en utilisant le 2FA que j'ai configuré. Cependant, chaque fournisseur semble avoir une alternative pour les applications qui n'authentifient pas via un client Web.

  • Hotmail/Google: mot de passe "spécifique à l'application" de 16 caractères minuscules
  • Posteo: IMAP/POP3

Ce mot de passe spécifique à l'application donne à toute application un accès complet à votre compte. Je peux utiliser le même mot de passe spécifique à l'application de Thunderbird pour lire tous les messages à l'aide d'une application de messagerie sur mon téléphone.

Dans le cas de Posteo, j'entre simplement le mot de passe comme si 2FA n'était pas configuré, et je pourrais charger n'importe quelle boîte de réception.

Maintenant, compte tenu des situations ci-dessus, je ne comprends vraiment pas comment les mots de passe IMAP/POP3 et spécifiques à l'application peuvent exister lorsque 2FA est activé, car ils contournent complètement 2FA.

Quelle est la chose critique qui me manque ici?

9
CCXD

Rien ne te manque.

C'est une option pratique qui doit généralement être activée spécifiquement lorsque 2FA est activée - et défie quelque peu 2FA.

Sinon, les téléphones intelligents et les clients de messagerie seraient tout à fait inutiles, ou du moins encombrants.

Dans le cas des clients de messagerie de téléphone intelligent: pour la plupart des options 2FA, le téléphone intelligent est le deuxième facteur, il n'y a donc aucun avantage massif à en tirer. (Et d'autres options peuvent ne pas être possibles, par exemple les iPhones ne peuvent pas utiliser de yubikeys).

Néanmoins, 2FA vous aide toujours lorsque le mot de passe IMAP/POP3/SMTP est fort et unique pour ce compte et que la connexion est sécurisée par TLS: vous ne pouvez toujours pas être hameçonné et pouvez utiliser votre smartphone et le mot de passe ne peut pas être forcé brutalement et peut ne fuit pas (car il est solide et utilisé uniquement là-bas).

5
Tobi Nary

L'authentification côté serveur n'est pas magique. Ce sont juste des algorithmes qui font ce que font les algorithmes. Si 2FA est activé sur un site, le site vous demandera votre mot de passe, puis en supposant que c'est correct, il demandera votre code 2FA. Si le site dispose d'un mécanisme comme les mots de passe spécifiques à l'application et que vous en fournissez un, il ne demandera pas le code 2FA. C'est assez simple.

L'avantage des mots de passe spécifiques à une application est que vous pouvez configurer une application ou un service avec un accès limité à votre compte. Un mot de passe spécifique à l'application ne peut généralement pas être utilisé pour apporter des modifications à votre compte (sauf si un site est mal conçu ou bogué). Pour ce faire, vous devrez toujours avoir votre mot de passe principal et votre code 2FA.

4
Craig

En général, j'accepte @Craig

ne peut généralement pas être utilisé pour apporter des modifications à votre compte

pour clarifier cette partie:

2fa en combinaison avec des mots de passe spécifiques à l'application/au domaine est une bonne pratique pour sécuriser votre identité numérique aussi bien que possible techniquement possible *), c'est-à-dire mieux que sans, mais ce n'est pas le Saint Graal. 2fa aborde non seulement (la partie la plus importante) du niveau de sécurité enrichi, mais facilite également les connexions sans sécurité par mot de passe, car vous pouvez réduire la "complexité" de votre mot de passe (à garder à l'esprit) tout en combinant le deuxième facteur (possession) la sécurité de votre compte pourrait être améliorée. (Je ne dis pas que vous devriez faire comme ça;))

Pourtant: un mot de passe d'application/de messagerie compromis peut être utilisé pour abuser de votre compte, par exemple ouvrir des comptes sur d'autres systèmes ou passer des commandes en votre nom avec votre adresse e-mail correcte; même l'attaquant n'est pas en mesure de modifier votre mot de passe ou les détails de votre compte sur votre fournisseur d'identité en général. Vous pouvez toujours récupérer ... si vous êtes au courant d'une utilisation abusive.

Pourtant: si 2fa est juste au dessus d'un mauvais mot de passe et qu'il n'y a pas mot de passe spécifique à l'application, la sécurité de l'application (mail) est "compromise" en raison de false sentiment de sécurité positif de 2fa sur le Web; faites attention aux paramètres de sécurité de votre fournisseur ce qui est possible, il pourrait être plus sûr de conserver votre "ancien mot de passe" ( https://www.xkcd.com/936/ ).

les mots de passe spécifiques à une application sont néanmoins aussi sûrs que le fournisseur les génère. Et leur avantage n'est donné que s'ils restreignent l'accès à une ressource donnée. Des fournisseurs comme "le grand G" ne lui font pas du bon travail, car les mots de passe sont générés à 128 bits uniquement avec une faible entropie (pas de caractères spéciaux, etc.) et ce mot de passe peut être utilisé pour n'importe quelle API sans restrictions. L '"application" donnée n'est qu'une indication pour vous, où vous l'utilisez si vous souhaitez en révoquer une.

*) pour autant que je sache, il n'y a pas de RFC connus pour les protocoles IMAP/POP avancés qui permettraient aux clients de messagerie de bénéficier de 2fa. Et je doute que nous en obtiendrons un en raison du "gros" problème de compatibilité descendante des clients de messagerie hérités.

0
childno͡.de

Vous devez spécifiquement autoriser cette option pour une raison: elle bat le 2FA, car le mot de passe est suffisant pour autoriser l'accès.

La raison est d'autoriser les clients riches qui ne peuvent pas utiliser les lecteurs de messagerie 2FA comme les ordinateurs ou les smartphones à accéder à votre messagerie. La contre-mesure attendue pour faire face à la perte de 2FA est d'utiliser un mot de passe fort. Je n'utiliserais jamais cela en dessous de 12 caractères aléatoires. Mais ce n'est pas vraiment un problème car dans ce cas, vous laissez l'ordinateur ou le smartphone se souvenir et taper le mot de passe, et la sécurité est gérée sur le terminal.

Cela signifie que vous ne devez l'utiliser que sur un ordinateur ou un smartphone fiable et sécurisé, et utiliser uniquement 2FA sur des environnements moins sécurisés (ou fiables).

0
Serge Ballesta