特定于应用程序的密码比听起来更危险。不管它们的名字是什么，它们都不是特定于应用程序的。每个特定于应用程序的密码更像一个骨架密钥，提供对帐户的无限制访问。

“特定于应用程序的密码”这样命名是为了鼓励良好的安全实践——你不应该重复使用它们。然而，这个名字也可能给很多人带来虚假的安全感。

为什么需要特定于应用程序的密码

相关：什么是双因素认证，为什么我需要它？

双因素身份验证——或者两步验证，或者服务调用的任何东西——需要两样东西才能登录到您的帐户。你必须先输入密码，然后输入由智能**应用程序生成、通过短信发送或通过电子邮件发送给你的一次性使用代码。

当您登录到服务的网站或兼容的应用程序时，它通常是这样工作的。输入密码后，系统会提示您输入一次性代码。输入代码后，您的设备将收到一个OAuth令牌，该令牌认为应用程序或浏览器经过身份验证，或者类似的东西—它实际上并不存储密码。

相关：在这16个Web服务上使用两步验证来保护自己

但是，有些应用程序与此两步方案不兼容。例如，假设您想使用桌面电子邮件客户端访问Gmail，Outlook.com，或iCloud电子邮件。这些电子邮件客户端的工作方式是向您请求密码，然后存储该密码，并在每次访问服务器时使用该密码。无法在这些旧应用程序中输入两步验证码。

为了解决这一问题，谷歌、微软、苹果和其他各种提供两步验证的帐户提供商还提供了生成“特定于应用程序的密码”的功能。然后，您可以将此密码输入到应用程序中（例如，您选择的桌面电子邮件客户端），该应用程序就可以愉快地连接到您的帐户。问题解决了-不兼容两步身份验证的应用程序现在可以使用它。

等等，刚才发生什么事了？

相关：如何避免在使用双因素身份验证时被锁定

大多数人可能会继续他们的方式，安全的知识，他们正在使用双因素认证，是安全的。然而，“特定于应用程序的密码”实际上是一个新密码，它提供了对整个帐户的访问，完全绕过了双因素身份验证。这就是这些特定于应用程序的密码如何允许依赖于记住密码的旧应用程序运行的。

备份代码还允许您绕过双因素身份验证，但它们每次只能使用一次。与备份代码不同，特定于应用程序的密码可以永远使用，或者直到您手动撤销它们。

为什么称为应用程序特定密码

这些通常被称为特定于应用程序的密码，因为您应该为您使用的每个应用程序生成一个新的密码。这就是为什么Google和其他服务不允许您在生成这些特定于应用程序的密码后查看它们的原因。它们只在网站上显示一次，你在应用程序中输入它们，然后你就再也看不到它们了。下次您需要使用这样的应用程序时，只需生成一个新的应用程序密码。

这确实提供了一些安全优势。完成应用程序后，您可以使用此处的按钮“撤消”特定于应用程序的密码，该密码将不再允许访问您的帐户。任何使用旧密码的应用程序都无法工作。下面截图中的应用程序密码被撤销，所以可以安全地展示。

与完全不使用双因素身份验证相比，特定于应用程序的密码无疑是一个很大的改进。提供特定于应用程序的密码比为每个应用程序提供主密码要好。撤销特定于应用程序的密码比完全更改主密码更容易。

风险

如果生成了五个特定于应用程序的密码，则有五个密码可用于访问您的帐户风险很明显：

• 如果密码被泄露，它可以用来访问您的帐户。例如，假设您在Google帐户上设置了双因素身份验证，并且您的计算机被恶意软件感染。双因素身份验证通常会保护您的帐户，但恶意软件可能获取存储在Thunderbird和Pidgin等应用程序中的特定于应用程序的密码。这些密码可以用来直接访问你的帐户。
• 有权访问您的计算机的人可以生成一个特定于应用程序的密码，然后保留它，使用它进入您的帐户，而不必在将来使用双因素身份验证。如果在您生成特定于应用程序的密码并捕获您的密码时，有人在您身后查看，他们就可以访问您的帐户。
• 如果您向服务或应用程序提供特定于应用程序的密码，并且该应用程序是恶意的，那么您不仅允许单个应用程序访问您的帐户—应用程序的所有者可以传递该密码，其他人也可以将其用于恶意目的。

有些服务可能会试图用特定于应用程序的密码来限制web登录，但这更像是一种束缚。最终，特定于应用程序的密码在设计上提供了对您的帐户的无限制访问，并且没有多少方法可以阻止它。

我们不是想吓唬你。但是，特定于应用程序的密码的实际情况是，它们不是特定于应用程序的。它们存在安全风险，因此您应该撤销不再使用的特定于应用程序的密码。小心使用它们，并将它们视为您帐户的主密码。