非浏览器客户端是否围绕Gmail的2因素身份验证工作？

Question

如果您使用一个客户端，如mutt访问您的邮件，您可能知道，它不支持2因素身份验证。它仍然只提示输入密码-或者您的帐户密码，或者，在Gmail的情况下，可能是您的应用程序特定的Gmail密码。

我所担心的是，攻击者可以通过一个客户端登录，从而绕过Gmail的2因素身份验证。虽然我们可以设置特定于应用程序的密码，但我们不能为每个存在的客户端设置密码，对吗？是的，如果有人有密码，那么游戏就已经结束了；但是2因素应该是额外的防御线，这似乎破坏了额外的防御。

这是真正的威胁吗？建议的处理方法是什么？

Answer 1

应用程序专用密码是目前为不支持谷歌双因素身份验证的应用程序提供的唯一解决办法。这确实有效地绕过了双因素身份验证，但只在一定程度上。

显然，主要的风险是可以使用特定于应用程序的密码来访问您的帐户，而不需要使用第二个因素进行身份验证。Google通过使密码比用户生成的密码强得多，并且只显示特定于应用程序的密码一次，从而在一定程度上缓解了这一风险。

您还应该通过确保应用程序特定密码的显示和存储环境的安全性，只使用特定于应用程序的密码一次，并且永远不要将特定于应用程序的密码复制到任何位置，除非在需要应用程序的应用程序密码字段中。而且，和往常一样，不要在不信任的网络上使用应用程序。

你还应该利用谷歌提供的机制来管理和监控特定于应用程序的密码。特别是：

• 每当创建一个新的特定于应用程序的密码时，谷歌都会提醒你。注意这些。
• 您可以为特定于应用程序的密码创建自定义名称。给他们起对你有意义的名字。
  • 在“选择应用程序”或“选择设备”下选择“其他(自定义名称)”。

• 您可以看到，上一次是使用特定于应用程序的密码。对于经常签入的应用程序，这可能不是非常有用的信息。然而，如果你碰巧知道一个设备已经离线一段时间了，并且你看到了最近的使用，这仍然可能是一个麻烦的迹象。
• 你可以而且应该撤销不再使用或显示滥用迹象的特定于应用程序的密码。

最后，创建特定于应用程序的密码实际上要求您承担允许应用程序在没有第二个身份验证因素的情况下对您的帐户拥有权限的风险。