Google esti vähemmän turvallisen sovelluksen ?

[Urma]

Linux Ubuntu 16.04 LTS. Käytän Ubuntun Unity-sähköpostin muistuttajaa ja Firefox-selainta sähköpostien lukemiseen ja kirjoittamiseen.

Google oli poistanut tiliasetuksistani sähköpostin (Gmail) Unity-muistuttajan ilmoituksella: "Google esti vähemmän turvallisen sovelluksen sisäänkirjautumisen."
Sähköpostin muistuttaja alkoi taas toimia kun valitsin Google-tilin asetuksista ”Salli vähemmän turvalliset sovellukset: KÄYTÖSSÄ”
”Jotkin sovellukset ja laitteet käyttävät heikommin suojattua kirjautumistekniikkaa, mikä voi asettaa tilisi suurempaan vaaraan. Voit poistaa näille sovelluksille myönnetyt käyttöoikeudet (suositus) tai jatkaa sovellusten käyttöä riskeistä huolimatta.”

Olen käyttänyt sähköpostin muistuttajaa vuosia ja onhan siinä ainakin sellainen yksityisyys ”ongelma” että muistuttaja vilauttaa tietoja uudesta saapuneesta sähköpostiviestistä sillä hetkellä kun muistuttaja havaitsee viestin saapuneen.

Millainen tietoturva/yksityisyys uhka mainittu muistuttaja on?
Kuvakkeen takaa löytyvistä asetuksissa kyllä näkyy sähköpostiosoitteeni mutta tilin salasana näkyy pisteinä.
Onko Ubuntulle saatavana turvallisempia saapuneen postin muistuttajia?

Kiitos.

[raimo]

Onko Ubuntulle saatavana turvallisempia saapuneen postin muistuttajia?

Kiitos.

Selaimeen https://jasonsavard.com/Checker-Plus-for-Gmail toimii ainakin toistaiseksi ilman varoittelua.

[LMJ2368]

Tämä liittynee samaan asiaan:

https://forum.ubuntu-fi.org/index.php?topic=52942.msg405440#msg405440

Itse aion jatkaa käyttöä niin kuin ennenkin, vaihtamatta sitä muuhun - luultavasti huonommin toimivaan vaihtoehtoon.

[Tomin]

Google kutsuu vähemmän turvallisiksi sellaisia sovelluksia, jotka tallentavat käyttäjän salasanan ja kirjautuvat sen avulla palveluun. He haluaisivat, että kaikki sovellusten kehittäjät ottaisivat sovelluksissaan käyttöön OAuth-autentikoinnin, jolloin voidaan käyttää haluttaessa kaksivaiheista kirjautumista ja sovelluksiin tallennetaan vain sovelluskohtainen avain. Näistä asioista kannattaa raportoida sovelluken kehittäjälle.

[AimoE]

Näistä asioista kannattaa raportoida sovelluken kehittäjälle.

Voisi myös raportoida Googlelle spämmistä. Toi tyrkytys on hirveän yksioikoista ja harhaanjohtavaa, suorastaan valheellista.

[LMJ2368]

He haluaisivat, että kaikki sovellusten kehittäjät ottaisivat sovelluksissaan käyttöön OAuth-autentikoinnin, jolloin voidaan käyttää haluttaessa kaksivaiheista kirjautumista ja sovelluksiin tallennetaan vain sovelluskohtainen avain.

Minulla on ollut kauan tuo kaksivaiheinen kirjautuminen* käytössä,  mutta silti Ubuntun käyttöoikeuteen muka liittyy riski.
Onko tuossa OAuth-autentikoinnissa kyse vielä jostain muusta?

* (Kun jollain uudella laitteella tai ohjelmalla ensimmäistä kertaa kirjaudutaan Googleen omilla tunnuksilla, pitää kirjautuminen vahvistaa myös kännykällä vastaamalla Googlen kyselyyn "kyllä".  Ensimmäisen kirjautumisen jälkeen kirjautuminen tapahtuu automaattisesti.)

[AimoE]

Minulla on ollut kauan tuo kaksivaiheinen kirjautuminen käytössä (Kun jollain uudella laitteella tai ohjelmalla ensimmäistä kertaa kirjaudutaan Googleen omilla tunnuksilla, pitää kirjautuminen vahvistaa myös kännykällä vastaamalla Googlen kyselyyn kyllä.  Ensimmäisen kirjautumisen jälkeen kirjautuminen tapahtuu automaattisesti.) mutta silti Ubuntun käyttöoikeuteen muka liittyy riski.
Onko tuossa OAuth-autentikoinnissa kyse vielä jostain muusta?

En ole ihan varma kummasta on kyse, eli riittäisikö kaksivaiheisuus siihen että huomautusta ei tulisi, mutta kyllä, OAuth on yhtä kuin 2-vaiheinen kirjautuminen + lisäjippo. Se lisäjipo on kuvattu tuossa vanhan ketjun viestissä, tosin siinä kuvataan vain OAuth-menettelyä, vertaamatta sitä tavalliseen kaksivaiheiseen kirjautumiseen, mutta kyllä siitä sen verran selvää saa että idea käy ilmi.

[Tomin]

He haluaisivat, että kaikki sovellusten kehittäjät ottaisivat sovelluksissaan käyttöön OAuth-autentikoinnin, jolloin voidaan käyttää haluttaessa kaksivaiheista kirjautumista ja sovelluksiin tallennetaan vain sovelluskohtainen avain.

Minulla on ollut kauan tuo kaksivaiheinen kirjautuminen* käytössä,  mutta silti Ubuntun käyttöoikeuteen muka liittyy riski.
Onko tuossa OAuth-autentikoinnissa kyse vielä jostain muusta?

* (Kun jollain uudella laitteella tai ohjelmalla ensimmäistä kertaa kirjaudutaan Googleen omilla tunnuksilla, pitää kirjautuminen vahvistaa myös kännykällä vastaamalla Googlen kyselyyn "kyllä".  Ensimmäisen kirjautumisen jälkeen kirjautuminen tapahtuu automaattisesti.)

Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.

[AimoE]

Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.

Ensin kun luin tuon, ajattelin että olenpa taas huolimattomasti lukenut netistä juttuja, mutta sitten yritin löytää artikkelia jossa aisa kuvattaisiin, enkä vaan kertakaikkiaan löydä. Kaikki artikkelit tuntuvat yhdistävän OAuthin ja kaksivaiheisen autentikoinnin. Tosin kun suomeksi sanotaan "kaksivaiheinen", sen voi ymmärtää kahdella tavalla, "two-step" tai "two-factor". Jälkimmäiselle ei tunnu olevan hyvää suomennosta, mutta minusta "kaksitekijäinen" voisi olla parempi suomennos kuin "kaksivaiheinen". Kumpaankohan sinä viittaat?

[Tomin]

Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.

Ensin kun luin tuon, ajattelin että olenpa taas huolimattomasti lukenut netistä juttuja, mutta sitten yritin löytää artikkelia jossa aisa kuvattaisiin, enkä vaan kertakaikkiaan löydä. Kaikki artikkelit tuntuvat yhdistävän OAuthin ja kaksivaiheisen autentikoinnin. Tosin kun suomeksi sanotaan "kaksivaiheinen", sen voi ymmärtää kahdella tavalla, "two-step" tai "two-factor". Jälkimmäiselle ei tunnu olevan hyvää suomennosta, mutta minusta "kaksitekijäinen" voisi olla parempi suomennos kuin "kaksivaiheinen". Kumpaankohan sinä viittaat?

Jaa. Two-factoria itse ajattelin. Enpä edes ajatellut, että se voisi olla jotain muuta. Joka tapauksessa siis mietin sitä, että perinteisellä tavalla, jossa vain annetaan käyttäjätunnus (sähköpostiosoite) ja salasana, ei voi tehdä noita hienompia juttuja. OAuthia käytettäessähän tuo avaa nettisivun, jossa sitten kysellään tarkempia tietoja kuten TOTP-hommeleita.

[AimoE]

@LMJ2368: Suosittelen että luet artikkelin http://kb.mozillazine.org/Using_Gmail_with_Thunderbird_and_Mozilla_Suite -- toivottavasti tarkemmin kuin minä. Artikkelia voisi kyllä hieman lsekeyttää, mutta oleelliset asiat on siellä.

[nm]

Siis tietääkseni OAuth ei vaadi kaksivaiheisen kirjautumisen käyttöä, mutta kylläkin mahdollistaa sen.

Ensin kun luin tuon, ajattelin että olenpa taas huolimattomasti lukenut netistä juttuja, mutta sitten yritin löytää artikkelia jossa aisa kuvattaisiin, enkä vaan kertakaikkiaan löydä. Kaikki artikkelit tuntuvat yhdistävän OAuthin ja kaksivaiheisen autentikoinnin.

Tarkkaan ottaen OAuth ei ota kantaa käyttäjän tunnistautumiseen, vaan se on mekanismi, jolla siirretään tieto käyttöoikeudesta palvelusta toiseen siirtämättä varsinaisia tunnistautumistietoja, kuten käyttäjätunnusta ja salasanaa.

OAuthin varassa toimiva tunnistautuminen perustuu yleensä OpenID Connectiin. Sekään ei kuitenkaan ota kantaa siihen, tekeekö autentikointipalvelun tarjoaja useampivaiheisen varmistuksen vai ei.

Tosin kun suomeksi sanotaan "kaksivaiheinen", sen voi ymmärtää kahdella tavalla, "two-step" tai "two-factor". Jälkimmäiselle ei tunnu olevan hyvää suomennosta, mutta minusta "kaksitekijäinen" voisi olla parempi suomennos kuin "kaksivaiheinen". Kumpaankohan sinä viittaat?

Two-step authentication/verification ja two-factor authentication ovat sama asia, ja suomeksi molempien käännös on kaksivaiheinen tunnistautuminen.

[AimoE]

Two-step authentication/verification ja two-factor authentication ovat sama asia, ja suomeksi molempien käännös on kaksivaiheinen tunnistautuminen.

Two-step ei ole two-factor, jos kummassakin vaiheessa käytetään saman kategorian tunnistustekijää. Two-factor vaatii että ne ovat eri kategoriassa.

[nm]

Two-step authentication/verification ja two-factor authentication ovat sama asia, ja suomeksi molempien käännös on kaksivaiheinen tunnistautuminen.

Two-step ei ole two-factor, jos kummassakin vaiheessa käytetään saman kategorian tunnistustekijää. Two-factor vaatii että ne ovat eri kategoriassa.

Jees, tietoturvapiireissä varmaan merkityksellinen ero, mutta muuten noita termejä käytetään kyllä sujuvasti ristiin.

[Urma]

Kiitos vastauksista. Antaapa sitten muistuttajan muistuttaa toistaiseksi  .