Les «mots de passe spécifiques à une application» sont nommés de manière à encourager les bonnes pratiques de sécurité. Vous n'êtes pas censé les réutiliser. Cependant, le nom peut également fournir un faux sentiment de sécurité à de nombreuses personnes.
Pourquoi des mots de passe spécifiques à une application sont nécessaires
L'authentification à deux facteurs - ou la vérification en deux étapes, ou peu importe le service appelé - nécessite deux choses pour se connecter à votre compte. Vous devez d'abord entrer votre mot de passe, puis un code à usage unique généré par une application pour smartphone, envoyé par SMS ou envoyé par courrier électronique.
C’est ainsi que cela fonctionne normalement lorsque vous vous connectez au site Web d’un service ou à une application compatible. Vous entrez votre mot de passe, puis le code à usage unique vous est demandé. Vous entrez le code et votre appareil reçoit un jeton OAuth qui considère l’application ou le navigateur comme authentifié, ou quelque chose du genre: il ne stocke pas le mot de passe.
Pour résoudre ce problème, Google, Microsoft, Apple et divers autres fournisseurs de comptes proposant une vérification en deux étapes offrent également la possibilité de générer un «mot de passe spécifique à l'application». Vous entrez ensuite ce mot de passe dans l'application, par exemple l'adresse de messagerie de votre ordinateur. client de choix - et cette application peut se connecter avec plaisir à votre compte. Problème résolu - les applications qui ne seraient pas compatibles avec l’authentification en deux étapes fonctionnent désormais avec cette authentification.
Attendez une minute, que vient-il d'arriver?
La plupart des gens vont probablement continuer leur chemin, en sachant qu'ils utilisent une authentification à deux facteurs et qu'ils sont en sécurité. Cependant, ce "mot de passe spécifique à l'application" est en réalité un nouveau mot de passe qui permet d'accéder à l'intégralité de votre compte, en contournant entièrement l'authentification à deux facteurs. C’est ainsi que ces mots de passe spécifiques aux applications permettent aux applications plus anciennes qui dépendent de la mémorisation des mots de passe de fonctionner.
Les codes de sauvegarde vous permettent également de contourner l'authentification à deux facteurs, mais ils ne peuvent être utilisés qu'une seule fois. Contrairement aux codes de sauvegarde, les mots de passe spécifiques à une application peuvent être utilisés indéfiniment - ou jusqu'à ce que vous les révoquiez manuellement.
Pourquoi sont-ils appelés mots de passe spécifiques à une application?
Celles-ci sont souvent appelées mots de passe spécifiques à une application, car vous êtes censé en générer un nouveau pour chaque application que vous utilisez. C’est pourquoi Google et les autres services ne vous autorisent pas à visualiser ces mots de passe spécifiques à l’application une fois que vous les avez générés. Ils sont affichés sur le site Web une fois, vous les entrez dans l'application et vous ne les voyez plus jamais. La prochaine fois que vous utiliserez une telle application, vous générerez un nouveau mot de passe.
Cela procure des avantages en termes de sécurité. Lorsque vous avez terminé avec une application, vous pouvez utiliser le bouton ici pour «Révoquer» un mot de passe spécifique à une application. Ce mot de passe ne donnera plus accès à votre compte. Toute application utilisant l'ancien mot de passe ne fonctionnera pas. Le mot de passe de l'application dans la capture d'écran ci-dessous a été révoqué, c'est pourquoi il est prudent de le montrer.
Les mots de passe spécifiques à une application représentent un progrès considérable par rapport à la non-utilisation de l'authentification à deux facteurs. Donner des mots de passe spécifiques à une application est préférable à donner votre mot de passe principal à chaque application. Il est plus facile de révoquer un mot de passe spécifique à une application que de changer entièrement votre mot de passe principal.
Les risques
Si vous avez généré cinq mots de passe spécifiques à une application, vous pouvez utiliser cinq mots de passe pour accéder à vos comptes. Les risques sont clairs:
- Si le mot de passe est compromis, il peut être utilisé pour accéder à votre compte. Supposons, par exemple, que votre compte Google dispose d’une authentification à deux facteurs et que votre ordinateur soit infecté par des logiciels malveillants. L'authentification à deux facteurs devrait normalement protéger votre compte, mais le programme malveillant pourrait collecter des mots de passe spécifiques à une application stockés dans des applications telles que Thunderbird et Pidgin. Ces mots de passe pourraient ensuite être utilisés pour accéder directement à votre compte.
- Une personne ayant accès à votre ordinateur pourrait générer un mot de passe spécifique à l'application, puis le conserver et l'utiliser pour accéder à votre compte sans authentification à deux facteurs à l'avenir. Si quelqu'un regardait par-dessus votre épaule pendant que vous génériez un mot de passe spécifique à l'application et capturiez votre mot de passe, il aurait accès à votre compte.
- Si vous fournissez un mot de passe spécifique à une application ou un service et que cette application est malveillante, vous ne donnez pas accès à votre compte à une seule application: le propriétaire de l'application peut transmettre le mot de passe et d'autres personnes pourraient l'utiliser à des fins malveillantes..
Certains services peuvent tenter de restreindre les connexions Web avec des mots de passe spécifiques à l’application, mais c’est plutôt un bandaid. En fin de compte, les mots de passe spécifiques à l’application offrent un accès illimité à votre compte, et il n’ya pas grand-chose à faire pour l’empêcher.
Nous n’essayons pas de vous faire trop peur, ici. Mais la réalité des mots de passe spécifiques à une application est qu’ils ne sont pas spécifiques à une application. Ils constituent un risque pour la sécurité. Vous devez donc révoquer les mots de passe spécifiques à l’application que vous n’utilisez plus. Soyez prudent avec eux et traitez-les comme les mots de passe principaux de votre compte.
