根据https://support.google.com/accounts/answer/6010255:


Google可能会阻止未使用现代安全标准的某些应用程序或设备进行登录尝试。由于这些应用程序和设备更容易被破解,因此屏蔽它们有助于使您的帐户更安全。


那些“现代安全标准”是什么?为什么允许不支持它们的应用程序有危险?此外,如果您不使用这些应用程序(允许安全性较低的应用程序),是否会很危险?如果是这样,为什么?

我相信它可能是基于IMAP的OAuth2.0(根据此页面)。据我所知,这是Google自己的扩展程序,其他任何服务提供商都没有使用。

在我的特定情况下,我试图使用Kmail(v4.14.0)和IMAP访问我的Gmail帐户。

评论

在forums.mozillazine.org/viewtopic.php?f=39&t=2852231上进行了一些讨论(并提供了更多讨论的链接)。

加密的实施不当(无论是在存储中还是在将其发送给Google时)可能会导致某人窃取您的密码。

了解Google的运作方式后,他们很可能会检测到实际的漏洞利用,然后阻止产生这些漏洞的应用程序。

为什么Google允许您禁用针对实际漏洞的保护?我很确定这与OAuth2.0有关。

我确定他们只是要确保只有他们才能侵犯您的安全。 ;-)

#1 楼

据我了解,“安全性较低的应用程序”是指直接将您的凭据发送到Gmail的应用程序。当您将凭据交给第三方以交给身份验证机构时,很多事情可能会出错:第三方可能会在不通知您的情况下将凭据保存在存储中,他们可能会将您的凭据用于应用程序规定范围之外的目的,可能会在不加密的情况下通过网络发送您的凭据。

此外,它可能是用户在本地安装的应用(例如IMAP客户端)(请参阅Google的以下支持说明:https:/ /support.google.com/accounts/answer/6010255?hl=zh_CN)

“安全性较低”并不表示使用您的凭据的应用必然存在安全漏洞或由罪犯。实际上,这是行为的类别(将您的凭据提供给第三方),从根本上说,它不像使用OAuth这样的授权机制安全。获得授权后,您将永远不会允许第三方看到您的凭据,因此,一整套问题便会立即消除。

在OAuth中,您可以使用凭据直接向Gmail进行身份验证,并授权应用程序执行某些操作东西。第三方应用程序仅看到Google提供的授权令牌,以证明您已正确验证身份并同意对该应用程序进行授权。

为什么启用安全性较低的应用程序会比较危险(与使用可能不值得信赖的特定应用),但我不确定。在您将凭据交给了应用程序之后,Google会拒绝进行身份验证。在我看来,无论何时将您的凭据提供给第三方,是否允许“不太安全的应用程序”进行身份验证都没关系-有人可以加载登录屏幕并直接登录和你一样我能想到的唯一可能的情况是:


可能“基于应用程序”的登录尝试与“基于人的”登录尝试的处理方式有所不同,特别是它们如何处理位置的突然变化。也许您正在尝试使用的“不太安全”的应用在另一大洲拥有服务器,因此,当某个应用尝试以您在其他地方的身份登录时,对于Gmail而言,这并不是什么可疑的,
可能“不太安全”的身份验证方法包括其他一些登录方法,这些方法不会直接向第三方透露您的凭据,但以其他方式不如OAuth 2.0安全(例如,它们“容易受到攻击者的窃听,或者它们使攻击者在某种程度上更容易在不知道您的密码的情况下访问您的帐户。”

以上两点纯属推测,很可能并非如此。事实。

评论


我懂了。关于不受信任的应用程序的所有内容都相当巧妙。操作系统和浏览器仍然受到完全信任。当浏览器是Firefox而电子邮件客户端是Thunderbird时,那真是愚蠢。更一般而言,授予对电子邮件帐户的访问权限可以控制该帐户,因此强制电子邮件客户端使用OAuth没有任何好处。这看起来更像是一项引人入胜的举动,隐藏在一个真正的但部分错误应用的安全问题中。

–吉尔斯'所以-不再是邪恶的'
2014年11月5日在18:14

一句话:BULLSHIT。 ...以及当他们甚至不支持gpg加密时,他们如何指责别人不现代呢? ...或任何与此相关的加密。

–user447607
2014年11月27日8:48



吉尔斯,你说的不对。授予应用电子邮件访问权限后,它便可以阅读,发送和修改电子邮件,但是它无法更改密码或在Google Play上进行购买。问题不是浏览器或邮件客户端,而是运行在第三方数据中心上的应用程序。基于用户名/密码(仅)的身份验证不允许使用浏览器信息并挑战具有可疑活动的用户,因此使其安全性降低。

– epsalon
15年11月24日在1:52



如果启用了两步验证,则可以生成特定于应用程序的密码,从而绕过不太安全的应用程序检查。启用两步验证后,不允许使用安全性较低的应用程序的选项。可惜的是,Google并未针对登录尝试阻止发送的电子邮件解释这种解决方案。令人惊讶的是,尽管仍在发送身份验证凭据,但使用所谓的特定于应用程序的密码进行的登录并不被认为安全性较低。

– starfry
16年4月14日在10:06

根据Outlook 2013为什么不满足现代安全标准?,详细信息是gmail仅允许“(非标准)XOAUTH2 SASL机制(正确的标签实际上是OAUTHBEARER)”。它似乎记录在这里:developers.google.com/gmail/xoauth2_protocol

–nealmcb
16-10-23在23:36

#2 楼

我没有足够的声誉来发表评论,但是我想补充自己的经验,当我“发现”该问题时...

我正在设置一个新的电子邮件客户端Airmail 2.0,以使用Google的SMTP服务器代表一个Gmail帐户发送邮件。

现在,我的设置可能不太“常见”:我已将此特定的Gmail地址转发到了另一个地址我正在使用Airmail,并将gmail地址设置为该帐户的“别名”。为了避免看起来像垃圾邮件,Airmail允许配置特定的SMTP服务器,以便在“从”别名发送邮件时使用。 ,并且运行良好(例如,没有有关“降低安全性”的消息)。因此,我将SMTP设置从“普通”帐户复制到了新帐户:

这些是“经典”帐户的设置:



这些是用于“别名” SMTP服务器的:



请注意有什么区别吗?我都不是!

我一直在浏览,并且还找到了前面提到的页面,Google的安全性文章新安全措施将影响较旧的(非OAuth 2.0)应用程序,宣布了更改-此段(强调我的意思!)似乎暗示需要像许多其他“应用程序客户端”(Dropbox等)一样,对应用程序进行“授权”访问该帐户:


因此,从2014年下半年开始,我们将逐渐增加用户登录Google时执行的安全检查。这些额外的检查将确保只有目标用户才能通过浏览器,设备或应用程序访问其帐户。这些更改将影响向Google发送用户名和/或密码的任何应用程序。


我本身并不反对这个想法,但我希望能获得更多信息,以确保应用程序安全才可以做些什么,以便我们可以要求我们的应用程序提供商实施必要的更改...

有关以下主题的更多信息:GMail开始阻止不太安全的应用程序:如何再次启用访问权限。

更令人费解的是,我的“其他” Gmail帐户不会触发此类消息,因为我没有启用2FA,因此根据上一篇文章,我应该了解一下这些错误!

更新时间2014-12-31,17:52 GMT:出于好奇,我检查了旧Gmail帐户的设置,发现它实际上设置为“安全性降低”(如Google所说)。我猜想,当Google引入该功能时,“安全性较低”(按照Google的条款)客户端正在访问的现有帐户的默认设置是允许其继续访问。

另一方面,正如原始Google Blog Post上的一些评论所说,Google担心我们的安全性真是太好了,但是可以通过支持CRAM-MD5或DIGEST- MD5用于身份验证,而不仅仅是普通的登录。

#3 楼

人们使用的移动应用程序未采取适当措施来保护GMail用户凭据。因此,谷歌正在采取其唯一的行动:通过禁止应用程序乱扔用户和密码并强制使用其信任的身份验证方法(自己的身份)来终止恶意黑客的乐趣。

这些应用程序的问题不是一个,而是各种各样的:有些不使用ssl / tls进行数据加密,另一些则允许黑客进行中间通信,等等。

通过这样做,它们使攻击者得以捕获用户GMail凭据,从而导致帐户遭到破坏。

,因此Google从Authentication更改为Authorization方法,看起来类似于GitHub所使用的方法。

评论


这个答案没有多大意义。通过禁用明文协议,可以轻松阻止不使用TLS的应用。实际上,阻止特定的客户端是不可能的,因为一个客户端可以轻松地模拟另一个客户端。您是说Google封锁了*协议*,这确实正在发生?身份验证和授权是不同的东西,一个不能替代另一个。

–吉尔斯'所以-不再是邪恶的'
2014年11月5日在18:06

答案的一部分只是列举违反“安全标准”的行为,作为移动应用程序尝试传达敏感信息时发生的问题的一个示例。 Google不会阻止特定的客户。 Google阻止了不使用新API指定的方法的客户端。我知道身份验证和授权是不同的东西。正如您将要进行的研究一样,该新方法还讨论了OAuth 2.0,它不是身份验证,而是授权方法。请,如果您不明白答案,请不要投票。

– DarkLighting
2014年11月5日19:07

如果应用程序不使用oauth,则并不意味着它“不太安全”。我会更加关注隐私问题(即通过网络界面登录)。

–安东尼·亨特(Anthony Hunt)
15年9月29日在9:32

OAuth只是解决证书公开问题的解决方案。最重要的是,我们仍然必须采用其他机制来确保操作的安全性。拜托,OAuth并不是对任何事物的最终答案。他所说的“不太安全”(我认为您应该对HIS答案发表评论)是,使用OAuth比允许应用程序使用自己的凭据更安全,而不是OAuth是必不可少的项目。您正在丢失参考。他们进行了比较,而不是绝对的肯定。

– DarkLighting
2015年9月29日15:13