清理数码垃圾堆时翻到一个几年前做的 thunderbird 优盘,打开就能直接同步我现在邮箱的内容。这个 thunderbird 版本根本就不支持两步验证等手段,而且它吃灰期间我的邮箱密码也已经换过了,竟然都难不倒它。因为当初给它登陆用的是 app password 。
谷歌微软苹果亚麻很早就都在推两步验证,现在又换成 passkey ,号称无敌安全。但是他们都允许用户为 app 创建专用登陆密码。
按照介绍,这个密码应该是一次性使用,专码专用。实际上,这个密码既不限制有几个用户,也不限制用几次,更没有过期时间。完全就是第二把钥匙。
而且这个密码多半是用于第三方设备或老旧 app ,对这个密码的存储保护是明显弱于平均水平的。一旦泄露,依然等于裸奔。该密码的随机生成不好记的特性又逼着用户把它记在什么地方,实在是跟 MFA 的理念背道而驰。
使用这个密码需要用户有很强的安全意识,并且严格遵循使用规范,定期手动审核是否过期,对绝大部分用户来说很不现实。真心不知道这些登陆平台是怎么这么心大随便放给用户用的
谷歌微软苹果亚麻很早就都在推两步验证,现在又换成 passkey ,号称无敌安全。但是他们都允许用户为 app 创建专用登陆密码。
按照介绍,这个密码应该是一次性使用,专码专用。实际上,这个密码既不限制有几个用户,也不限制用几次,更没有过期时间。完全就是第二把钥匙。
而且这个密码多半是用于第三方设备或老旧 app ,对这个密码的存储保护是明显弱于平均水平的。一旦泄露,依然等于裸奔。该密码的随机生成不好记的特性又逼着用户把它记在什么地方,实在是跟 MFA 的理念背道而驰。
使用这个密码需要用户有很强的安全意识,并且严格遵循使用规范,定期手动审核是否过期,对绝大部分用户来说很不现实。真心不知道这些登陆平台是怎么这么心大随便放给用户用的
13 条回复 • 2025-07-18 09:33:33 +08:00
 |
1
processzzp 16 天前  1
Google 账户开了高级保护之后,app password 全部失效,客户端收件只能走 OAuth 2.0 ,你能想到的大厂早就想到了,自作聪明
|
 |
2
moudy OP @processzzp
google 高级保护是这么介绍的,你觉得一般人会考虑开这个么? 您可以注册高级保护计划,以便借助 Google 最强大的账号安全机制保护您的账号。 我们建议遭受定向在线攻击的风险较高的任何用户都注册高级保护计划。这些用户包括记者、活动家、政治运动工作者、商界领袖、IT 管理员以及名下 Google 账号包含重要文件或敏感信息的任何其他用户 |
|
3
moudy OP @processzzp 事实上 google 账号的安全页面都不显示 app password 入口,我都是在 google help 里才找到跳转链接,一般人几乎没发做日常过期审核等工作
|
 |
4
fuzzsh 16 天前 via Android 1
app password 只在创建时显示,你要保存下来泄露了也没办法
本地终端都被入侵的情况下,偷走你的密码岂不是手到擒来 配置文件的权限不当属于开发者失误,毕竟上来就关防火墙 chmod 777 ,只追求能跑就行 用第三方收件通常视为定制化用户,用户理应清楚自己要做什么 类比免密支付,即使支付机构给你上了各种强度的生物验证,购物平台没风控不一样直接撸走你的钱,你是因为信任购物平台才签下支付协议,你不清楚在做什么还签协议? |
 |
5
xyfan 16 天前
每次拉取新邮件都要 2FA 验证,app password 每个月失效一次,多 IP 同时登录立即失效,请求频率过高立即失效,你就觉得贴心了
|
|
6
moudy OP @fuzzsh 我觉得 app 密码至少应该设置一个有效时间,比如最长一年,中间六个月时平台会来问是否延长,这样保证不会出现无人打理却一直有效的“后门”。
这次 thunderbird 让我把网上各账号的的 app 密码审查了一遍,有一个密码居然是 2017 年给 foxmail 创建的…… |
|
7
moudy OP @xyfan ios 上邮件 app 登陆 hotmail 的 token 就是隔几个月过期,定期让你重新登陆授权。google photo 定期给你发邮件说你的相册有几个共享。这些防的是啥?
|
 |
8
MacsedProtoss 16 天前 via iPhone
app password 这个玩意是在账户管理页手动生成的给第三方用的,优点就是不需要接入复杂的 sdk ,而是直接用这个 password 就能鉴权。
说到永久性,你想想 passkey 是不是也是永久的,也是非 2FA 手段(基本上目前支持 passkey 的地方都是无 2FA 无需密码 直接登录的) 你自己手动生成了 app password 那你就应该自己负责。 再说说你的思路中的问题:app password 并不适合做自动续期。或者说如果支持自动续期,那为啥不直接走传统的那套登录+token 流程? |
|
9
moudy OP @MacsedProtoss passkey 不带 MFA 确实是另一个问题。按照网上说法,passkey 都会配合指纹或刷脸来用,号称机主认证就是另一个 factor ,我不认同。
我觉得 mfa 最大的优势是不会因为一个设备失控就全线爆破。而 passkey 会有这个问题(想象一下小偷在地铁上看了你的解锁密码再顺走手机…..)如果是短信 mfa ,我可以第一时间锁 sim 卡。而 passkey 几乎没法第一时间止损。你一个账号一个账号去改 key 也是要时间的,而且没了 passkey 想登陆你的账号可没那么容易。 最后你说的登陆加 token 形式自然是最好的,问题很多情况确实不允许。我给打印机设置“扫描为电子邮件”需要输入 smtp 配置,只能给 app 密码替代。这时候 app 密码如果能每半年延长,否则自动 deactive (允许手动重新 active )安全性应该是更高的。一般的用户十年后确实是会忘掉这玩意里还有我的 email 入口密码呢。到时候爸妈清理房间时顺手扔给收破烂的,就形成事实上的设备失控。 |
 |
10
hefish 16 天前
一般人的密码基本都是 abc123 ,复杂点的东西,那不用就是了,谁叫咱是一般人呢。
|
 |
11
Kirkcong 15 天前
你说的 app password 本质是一串 token ,用于为不兼容的、第三方的 app/sdk 提供访问支持。对于 token 你应该限制它使用的权限并严格保密,比如 aws IAM ,如果你知道了某个 root 用户的 ak ,那么可以无视全部的访问权限。所以确实像你说的,app password 需要用户有很强的安全意识,并且严格遵循使用规范,但需要用到这东西的场景也决定了使用者不是纯小白。
@moudy #9 “ passkey 会有这个问题(想象一下小偷在地铁上看了你的解锁密码再顺走手机…..)” “而且没了 passkey 想登陆你的账号可没那么容易。” passkey 是软件/硬件的安全密钥,很多网站在添加之初就让你添加两个,互为备份。对于硬件密钥,比如 yubikey ,有些型号是有生物认证的,本身也有有 PIN 码进行保护,输错 3 次后只能用 PUK 解锁,而且盗窃者也不知道你的 key 用于那些账户;对于软件 passkey ,现在大部分解锁方式都是生物识别,几乎没有渠道获取你手机访问权限,即便盗窃者获取到了你手机访问权限,在你 passkey app 层面还是需要二次验证的。如果你没有使用生物认证而使用密码的方式,盗窃者需要追踪你一段时间获取到手机密码,还要继续追踪你 直到某一天你再次使用了 passkey 登录验证,并且此时捕获你 passkey app 的密码,这成本相当高昂,几乎不可能实现。 |
Select Language