Kirjoittaja Aihe: Google esti vähemmän turvallisen sovelluksen ?  (Luettu 6319 kertaa)

Urma

  • Käyttäjä
  • Viestejä: 65
    • Profiili
Linux Ubuntu 16.04 LTS. Käytän Ubuntun Unity-sähköpostin muistuttajaa ja Firefox-selainta sähköpostien lukemiseen ja kirjoittamiseen.

Google oli poistanut tiliasetuksistani sähköpostin (Gmail) Unity-muistuttajan ilmoituksella: "Google esti vähemmän turvallisen sovelluksen sisäänkirjautumisen."
Sähköpostin muistuttaja alkoi taas toimia kun valitsin Google-tilin asetuksista ”Salli vähemmän turvalliset sovellukset: KÄYTÖSSÄ”
”Jotkin sovellukset ja laitteet käyttävät heikommin suojattua kirjautumistekniikkaa, mikä voi asettaa tilisi suurempaan vaaraan. Voit poistaa näille sovelluksille myönnetyt käyttöoikeudet (suositus) tai jatkaa sovellusten käyttöä riskeistä huolimatta.”

Olen käyttänyt sähköpostin muistuttajaa vuosia ja onhan siinä ainakin sellainen yksityisyys ”ongelma” että muistuttaja vilauttaa tietoja uudesta saapuneesta sähköpostiviestistä sillä hetkellä kun muistuttaja havaitsee viestin saapuneen.

Millainen tietoturva/yksityisyys uhka mainittu muistuttaja on?
Kuvakkeen takaa löytyvistä asetuksissa kyllä näkyy sähköpostiosoitteeni mutta tilin salasana näkyy pisteinä.
Onko Ubuntulle saatavana turvallisempia saapuneen postin muistuttajia?

Kiitos.

raimo

  • Käyttäjä
  • Viestejä: 4273
  • openSUSE Tumbleweed
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #1 : 11.02.18 - klo:14.50 »
Onko Ubuntulle saatavana turvallisempia saapuneen postin muistuttajia?

Kiitos.

Selaimeen https://jasonsavard.com/Checker-Plus-for-Gmail toimii ainakin toistaiseksi ilman varoittelua.
Tietä käyden tien on vanki. Vapaa on vain umpihanki.
Aaro Hellaakoski

LMJ2368

  • Käyttäjä
  • Viestejä: 134
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #2 : 11.02.18 - klo:15.15 »
Tämä liittynee samaan asiaan:

https://forum.ubuntu-fi.org/index.php?topic=52942.msg405440#msg405440

Itse aion jatkaa käyttöä niin kuin ennenkin, vaihtamatta sitä muuhun - luultavasti huonommin toimivaan vaihtoehtoon.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11487
    • Profiili
    • Tomin kotisivut
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #3 : 11.02.18 - klo:17.03 »
Google kutsuu vähemmän turvallisiksi sellaisia sovelluksia, jotka tallentavat käyttäjän salasanan ja kirjautuvat sen avulla palveluun. He haluaisivat, että kaikki sovellusten kehittäjät ottaisivat sovelluksissaan käyttöön OAuth-autentikoinnin, jolloin voidaan käyttää haluttaessa kaksivaiheista kirjautumista ja sovelluksiin tallennetaan vain sovelluskohtainen avain. Näistä asioista kannattaa raportoida sovelluken kehittäjälle.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

AimoE

  • Käyttäjä
  • Viestejä: 2785
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #4 : 11.02.18 - klo:19.03 »
Näistä asioista kannattaa raportoida sovelluken kehittäjälle.
Voisi myös raportoida Googlelle spämmistä. Toi tyrkytys on hirveän yksioikoista ja harhaanjohtavaa, suorastaan valheellista.

LMJ2368

  • Käyttäjä
  • Viestejä: 134
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #5 : 12.02.18 - klo:13.27 »
He haluaisivat, että kaikki sovellusten kehittäjät ottaisivat sovelluksissaan käyttöön OAuth-autentikoinnin, jolloin voidaan käyttää haluttaessa kaksivaiheista kirjautumista ja sovelluksiin tallennetaan vain sovelluskohtainen avain.

Minulla on ollut kauan tuo kaksivaiheinen kirjautuminen* käytössä,  mutta silti Ubuntun käyttöoikeuteen muka liittyy riski.
Onko tuossa OAuth-autentikoinnissa kyse vielä jostain muusta?

* (Kun jollain uudella laitteella tai ohjelmalla ensimmäistä kertaa kirjaudutaan Googleen omilla tunnuksilla, pitää kirjautuminen vahvistaa myös kännykällä vastaamalla Googlen kyselyyn "kyllä".  Ensimmäisen kirjautumisen jälkeen kirjautuminen tapahtuu automaattisesti.)
« Viimeksi muokattu: 12.02.18 - klo:13.49 kirjoittanut LMJ2368 »

AimoE

  • Käyttäjä
  • Viestejä: 2785
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #6 : 12.02.18 - klo:13.50 »
Minulla on ollut kauan tuo kaksivaiheinen kirjautuminen käytössä (Kun jollain uudella laitteella tai ohjelmalla ensimmäistä kertaa kirjaudutaan Googleen omilla tunnuksilla, pitää kirjautuminen vahvistaa myös kännykällä vastaamalla Googlen kyselyyn kyllä.  Ensimmäisen kirjautumisen jälkeen kirjautuminen tapahtuu automaattisesti.) mutta silti Ubuntun käyttöoikeuteen muka liittyy riski.
Onko tuossa OAuth-autentikoinnissa kyse vielä jostain muusta?
En ole ihan varma kummasta on kyse, eli riittäisikö kaksivaiheisuus siihen että huomautusta ei tulisi, mutta kyllä, OAuth on yhtä kuin 2-vaiheinen kirjautuminen + lisäjippo. Se lisäjipo on kuvattu tuossa vanhan ketjun viestissä, tosin siinä kuvataan vain OAuth-menettelyä, vertaamatta sitä tavalliseen kaksivaiheiseen kirjautumiseen, mutta kyllä siitä sen verran selvää saa että idea käy ilmi.

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11487
    • Profiili
    • Tomin kotisivut
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #7 : 12.02.18 - klo:14.39 »
He haluaisivat, että kaikki sovellusten kehittäjät ottaisivat sovelluksissaan käyttöön OAuth-autentikoinnin, jolloin voidaan käyttää haluttaessa kaksivaiheista kirjautumista ja sovelluksiin tallennetaan vain sovelluskohtainen avain.

Minulla on ollut kauan tuo kaksivaiheinen kirjautuminen* käytössä,  mutta silti Ubuntun käyttöoikeuteen muka liittyy riski.
Onko tuossa OAuth-autentikoinnissa kyse vielä jostain muusta?

* (Kun jollain uudella laitteella tai ohjelmalla ensimmäistä kertaa kirjaudutaan Googleen omilla tunnuksilla, pitää kirjautuminen vahvistaa myös kännykällä vastaamalla Googlen kyselyyn "kyllä".  Ensimmäisen kirjautumisen jälkeen kirjautuminen tapahtuu automaattisesti.)

Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

AimoE

  • Käyttäjä
  • Viestejä: 2785
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #8 : 12.02.18 - klo:15.42 »
Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.
Ensin kun luin tuon, ajattelin että olenpa taas huolimattomasti lukenut netistä juttuja, mutta sitten yritin löytää artikkelia jossa aisa kuvattaisiin, enkä vaan kertakaikkiaan löydä. Kaikki artikkelit tuntuvat yhdistävän OAuthin ja kaksivaiheisen autentikoinnin. Tosin kun suomeksi sanotaan "kaksivaiheinen", sen voi ymmärtää kahdella tavalla, "two-step" tai "two-factor". Jälkimmäiselle ei tunnu olevan hyvää suomennosta, mutta minusta "kaksitekijäinen" voisi olla parempi suomennos kuin "kaksivaiheinen". Kumpaankohan sinä viittaat?

Tomin

  • Palvelimen ylläpitäjä
  • Käyttäjä / moderaattori+
  • Viestejä: 11487
    • Profiili
    • Tomin kotisivut
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #9 : 12.02.18 - klo:16.21 »
Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.
Ensin kun luin tuon, ajattelin että olenpa taas huolimattomasti lukenut netistä juttuja, mutta sitten yritin löytää artikkelia jossa aisa kuvattaisiin, enkä vaan kertakaikkiaan löydä. Kaikki artikkelit tuntuvat yhdistävän OAuthin ja kaksivaiheisen autentikoinnin. Tosin kun suomeksi sanotaan "kaksivaiheinen", sen voi ymmärtää kahdella tavalla, "two-step" tai "two-factor". Jälkimmäiselle ei tunnu olevan hyvää suomennosta, mutta minusta "kaksitekijäinen" voisi olla parempi suomennos kuin "kaksivaiheinen". Kumpaankohan sinä viittaat?

Jaa. Two-factoria itse ajattelin. Enpä edes ajatellut, että se voisi olla jotain muuta. Joka tapauksessa siis mietin sitä, että perinteisellä tavalla, jossa vain annetaan käyttäjätunnus (sähköpostiosoite) ja salasana, ei voi tehdä noita hienompia juttuja. OAuthia käytettäessähän tuo avaa nettisivun, jossa sitten kysellään tarkempia tietoja kuten TOTP-hommeleita.
Automaattinen allekirjoitus:
Lisäisitkö [RATKAISTU] ketjun ensimmäisen viestin aiheeseen ongelman ratkettua, kiitos.

AimoE

  • Käyttäjä
  • Viestejä: 2785
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #10 : 12.02.18 - klo:16.29 »
@LMJ2368: Suosittelen että luet artikkelin http://kb.mozillazine.org/Using_Gmail_with_Thunderbird_and_Mozilla_Suite -- toivottavasti tarkemmin kuin minä. Artikkelia voisi kyllä hieman lsekeyttää, mutta oleelliset asiat on siellä.

nm

  • Käyttäjä
  • Viestejä: 16445
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #11 : 12.02.18 - klo:16.29 »
Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.
Ensin kun luin tuon, ajattelin että olenpa taas huolimattomasti lukenut netistä juttuja, mutta sitten yritin löytää artikkelia jossa aisa kuvattaisiin, enkä vaan kertakaikkiaan löydä. Kaikki artikkelit tuntuvat yhdistävän OAuthin ja kaksivaiheisen autentikoinnin.

Tarkkaan ottaen OAuth ei ota kantaa käyttäjän tunnistautumiseen, vaan se on mekanismi, jolla siirretään tieto käyttöoikeudesta palvelusta toiseen siirtämättä varsinaisia tunnistautumistietoja, kuten käyttäjätunnusta ja salasanaa.

OAuthin varassa toimiva tunnistautuminen perustuu yleensä OpenID Connectiin. Sekään ei kuitenkaan ota kantaa siihen, tekeekö autentikointipalvelun tarjoaja useampivaiheisen varmistuksen vai ei.


Tosin kun suomeksi sanotaan "kaksivaiheinen", sen voi ymmärtää kahdella tavalla, "two-step" tai "two-factor". Jälkimmäiselle ei tunnu olevan hyvää suomennosta, mutta minusta "kaksitekijäinen" voisi olla parempi suomennos kuin "kaksivaiheinen". Kumpaankohan sinä viittaat?

Two-step authentication/verification ja two-factor authentication ovat sama asia, ja suomeksi molempien käännös on kaksivaiheinen tunnistautuminen.

AimoE

  • Käyttäjä
  • Viestejä: 2785
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #12 : 12.02.18 - klo:16.32 »
Two-step authentication/verification ja two-factor authentication ovat sama asia, ja suomeksi molempien käännös on kaksivaiheinen tunnistautuminen.
Two-step ei ole two-factor, jos kummassakin vaiheessa käytetään saman kategorian tunnistustekijää. Two-factor vaatii että ne ovat eri kategoriassa.

nm

  • Käyttäjä
  • Viestejä: 16445
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #13 : 12.02.18 - klo:16.51 »
Two-step authentication/verification ja two-factor authentication ovat sama asia, ja suomeksi molempien käännös on kaksivaiheinen tunnistautuminen.
Two-step ei ole two-factor, jos kummassakin vaiheessa käytetään saman kategorian tunnistustekijää. Two-factor vaatii että ne ovat eri kategoriassa.

Jees, tietoturvapiireissä varmaan merkityksellinen ero, mutta muuten noita termejä käytetään kyllä sujuvasti ristiin.

Urma

  • Käyttäjä
  • Viestejä: 65
    • Profiili
Vs: Google esti vähemmän turvallisen sovelluksen ?
« Vastaus #14 : 13.02.18 - klo:20.24 »
Kiitos vastauksista. Antaapa sitten muistuttajan muistuttaa toistaiseksi  :).