passkey/MFA 牛逼哄哄，一个 app password 直接干翻

Google 账户开了高级保护之后，app password 全部失效，客户端收件只能走 OAuth 2.0 ，你能想到的大厂早就想到了，自作聪明

@processzzp
google 高级保护是这么介绍的，你觉得一般人会考虑开这个么？

您可以注册高级保护计划，以便借助 Google 最强大的账号安全机制保护您的账号。

我们建议遭受定向在线攻击的风险较高的任何用户都注册高级保护计划。这些用户包括记者、活动家、政治运动工作者、商界领袖、IT 管理员以及名下 Google 账号包含重要文件或敏感信息的任何其他用户

@processzzp 事实上 google 账号的安全页面都不显示 app password 入口，我都是在 google help 里才找到跳转链接，一般人几乎没发做日常过期审核等工作

app password 只在创建时显示，你要保存下来泄露了也没办法
本地终端都被入侵的情况下，偷走你的密码岂不是手到擒来
配置文件的权限不当属于开发者失误，毕竟上来就关防火墙 chmod 777 ，只追求能跑就行
用第三方收件通常视为定制化用户，用户理应清楚自己要做什么
类比免密支付，即使支付机构给你上了各种强度的生物验证，购物平台没风控不一样直接撸走你的钱，你是因为信任购物平台才签下支付协议，你不清楚在做什么还签协议？

每次拉取新邮件都要 2FA 验证，app password 每个月失效一次，多 IP 同时登录立即失效，请求频率过高立即失效，你就觉得贴心了

@fuzzsh 我觉得 app 密码至少应该设置一个有效时间，比如最长一年，中间六个月时平台会来问是否延长，这样保证不会出现无人打理却一直有效的“后门”。

这次 thunderbird 让我把网上各账号的的 app 密码审查了一遍，有一个密码居然是 2017 年给 foxmail 创建的……

@xyfan ios 上邮件 app 登陆 hotmail 的 token 就是隔几个月过期，定期让你重新登陆授权。google photo 定期给你发邮件说你的相册有几个共享。这些防的是啥？

app password 这个玩意是在账户管理页手动生成的给第三方用的，优点就是不需要接入复杂的 sdk ，而是直接用这个 password 就能鉴权。
说到永久性，你想想 passkey 是不是也是永久的，也是非 2FA 手段（基本上目前支持 passkey 的地方都是无 2FA 无需密码 直接登录的）
你自己手动生成了 app password 那你就应该自己负责。
再说说你的思路中的问题：app password 并不适合做自动续期。或者说如果支持自动续期，那为啥不直接走传统的那套登录+token 流程？

@MacsedProtoss passkey 不带 MFA 确实是另一个问题。按照网上说法，passkey 都会配合指纹或刷脸来用，号称机主认证就是另一个 factor ，我不认同。

我觉得 mfa 最大的优势是不会因为一个设备失控就全线爆破。而 passkey 会有这个问题（想象一下小偷在地铁上看了你的解锁密码再顺走手机…..）如果是短信 mfa ，我可以第一时间锁 sim 卡。而 passkey 几乎没法第一时间止损。你一个账号一个账号去改 key 也是要时间的，而且没了 passkey 想登陆你的账号可没那么容易。

最后你说的登陆加 token 形式自然是最好的，问题很多情况确实不允许。我给打印机设置“扫描为电子邮件”需要输入 smtp 配置，只能给 app 密码替代。这时候 app 密码如果能每半年延长，否则自动 deactive （允许手动重新 active ）安全性应该是更高的。一般的用户十年后确实是会忘掉这玩意里还有我的 email 入口密码呢。到时候爸妈清理房间时顺手扔给收破烂的，就形成事实上的设备失控。

一般人的密码基本都是 abc123 ，复杂点的东西，那不用就是了，谁叫咱是一般人呢。

你说的 app password 本质是一串 token ，用于为不兼容的、第三方的 app/sdk 提供访问支持。对于 token 你应该限制它使用的权限并严格保密，比如 aws IAM ，如果你知道了某个 root 用户的 ak ，那么可以无视全部的访问权限。所以确实像你说的，app password 需要用户有很强的安全意识，并且严格遵循使用规范，但需要用到这东西的场景也决定了使用者不是纯小白。


@moudy #9

“ passkey 会有这个问题（想象一下小偷在地铁上看了你的解锁密码再顺走手机…..）” “而且没了 passkey 想登陆你的账号可没那么容易。”

passkey 是软件/硬件的安全密钥，很多网站在添加之初就让你添加两个，互为备份。对于硬件密钥，比如 yubikey ，有些型号是有生物认证的，本身也有有 PIN 码进行保护，输错 3 次后只能用 PUK 解锁，而且盗窃者也不知道你的 key 用于那些账户；对于软件 passkey ，现在大部分解锁方式都是生物识别，几乎没有渠道获取你手机访问权限，即便盗窃者获取到了你手机访问权限，在你 passkey app 层面还是需要二次验证的。如果你没有使用生物认证而使用密码的方式，盗窃者需要追踪你一段时间获取到手机密码，还要继续追踪你 直到某一天你再次使用了 passkey 登录验证，并且此时捕获你 passkey app 的密码，这成本相当高昂，几乎不可能实现。

@Kirkcong 不是纯小白这个判断并不一定哦。典型的情况是，有人想在路由器上配置 log 自动上传 hotmail ，跑到 ms answer 上问 smtp 验证怎么办，就会有人说你去搞个 app 密码填进去就好了。然后他就照猫画虎的干了。可能路由器还有配置备份功能，直接倒出一份备份报告扔某个地方就忘了。这是我在网上看到的真实例子。如果有一天别人拿到那个配置备份文件，他的 hotmail 就玩球了

@moudy #12

"有人想在路由器上配置 log 自动上传 hotmail ，跑到 ms answer 上问 smtp 验证怎么办"

这个场景中，他已经知道什么是路由器，什么是 log ，知道使用自动化，知道除了 qq 邮箱以外还有 hotmail ，懂得在正确的地方询问问题，知道 smtp 术语，且知道 smtp 需要验证。

以上，这不是一个小白。

真正的小白：

“师傅我家不能上网了，麻烦您帮忙看下”
“你路由器里面显示连接正常么？”
“我昨天还能上网的，今天回来就不能了”
“我是说你路由器界面有显示无法连接互联网？”
“能的呀，流量没问题”
“。。。。。”