Каковы преимущества использования аутентификации OAuth в моем настольном почтовом клиенте вместо «пароля приложения», также известного как «безопасный почтовый ключ»?

Question

Каковы преимущества использования аутентификации OAuth в моем настольном почтовом клиенте вместо «пароля приложения», также известного как «безопасный почтовый ключ»?

Google позволяет использовать аутентификацию OAuth для получения электронной почты, а также использовать длинный «пароль приложения», сгенерированный Google, вместо пароля учетной записи. Yahoo/AT&T также позволяет использовать «безопасный почтовый ключ» вместо OAuth — «безопасный почтовый ключ» выглядит так же, как «пароль приложения». Как OAuth обеспечивает большую безопасность и какие еще преимущества предлагает OAuth по сравнению с «паролем приложения»?

1

email security oauth2

Источник

Jim 09 мар '21 в 20:04

1 ответ

Другие вопросы по тегам email security oauth2

grawity 09 мар '21 в 20:39 2021-03-09 20:39 · Answer 1 · 2021-03-09 20:39

Они похожи, но:

Пароли приложений управляются вручную (копированием и т. д.), причем каждый сайт имеет свой собственный механизм. Токены OAuth2 выдаются более-менее автоматически, более-менее стандартным способом.
(Теоретически, OAuth2 также имеет потоки, которые позволяют ограниченным устройствам (например, смарт-телевизорам с утомительной экранной клавиатурой) получать токены вообще без особого ввода — вы входите в систему через свой компьютер, чтобы получить числовой PIN-код, вводите этот PIN-код на своем смарт-устройстве. тостер, холодильник или что-то еще, и теперь у него есть токен OAuth2 без необходимости вводить длинный пароль приложения.)
В большинстве сервисов все пароли приложений одинаково предоставляют одинаковый набор разрешений. Токены OAuth2 предоставляют только тот конкретный доступ, который вы подтвердили (например, только Gmail, только Диск или только Календарь).
(Некоторые сервисы, такие как GitHub, позволяют указывать области даже для паролей приложений, но тогда вам все равно нужно точно знать, какие из них вам понадобятся, и я готов поспорить, что большинство людей просто нажимают «Всем, спасибо», а затем используют это единственное приложение. пароль везде.)
OAuth2 использует двухуровневую систему с долгоживущим токеном «обновления», который отправляется только на сервер аутентификации, и кратковременным токеном «доступа», который клиент заменяет каждые X дней.
В зависимости от того, как была спроектирована служба, это может фактически защитить от некоторых угроз безопасности на стороне службы (например, скомпрометированный сервер IMAP может собирать навсегда действительные пароли приложений, но на самом деле он не может получать токены обновления OAuth2 — только токены временного доступа).
Пароли приложений работают с любым приложением. OAuth2 требует от каждого разработчика зарегистрировать свое приложение в качестве «клиента» и позволяет Google или Yahoo навязывать на этой неделе любую глупую политику разработки, которую они захотят.