警告：您的“特定於應用程式的密碼”不是特定於應用程式的

特定於應用程式的密碼比聽起來更危險。不管它們的名字是什麼，它們都不是特定於應用程式的。每個特定於應用程式的密碼更像一個骨架金鑰，提供對帳戶的無限制訪問。...

特定於應用程式的密碼比聽起來更危險。不管它們的名字是什麼，它們都不是特定於應用程式的。每個特定於應用程式的密碼更像一個骨架金鑰，提供對帳戶的無限制訪問。

“特定於應用程式的密碼”這樣命名是為了鼓勵良好的安全實踐——你不應該重複使用它們。然而，這個名字也可能給很多人帶來虛假的安全感。

為什麼需要特定於應用程式的密碼

相關：什麼是雙因素認證，為什麼我需要它？

雙因素身份驗證——或者兩步驗證，或者服務呼叫的任何東西——需要兩樣東西才能登入到您的帳戶。你必須先輸入密碼，然後輸入由智慧**應用程式生成、透過簡訊傳送或透過電子郵件傳送給你的一次性使用程式碼。

當您登入到服務的網站或相容的應用程式時，它通常是這樣工作的。輸入密碼後，系統會提示您輸入一次性程式碼。輸入程式碼後，您的裝置將收到一個OAuth令牌，該令牌認為應用程式或瀏覽器經過身份驗證，或者類似的東西—它實際上並不儲存密碼。

相關：在這16個Web服務上使用兩步驗證來保護自己

但是，有些應用程式與此兩步方案不相容。例如，假設您想使用桌面電子郵件客戶端訪問Gmail，Outlook.com，或iCloud電子郵件。這些電子郵件客戶端的工作方式是向您請求密碼，然後儲存該密碼，並在每次訪問伺服器時使用該密碼。無法在這些舊應用程式中輸入兩步驗證碼。

為了解決這一問題，谷歌、微軟、蘋果和其他各種提供兩步驗證的帳戶提供商還提供了生成“特定於應用程式的密碼”的功能。然後，您可以將此密碼輸入到應用程式中（例如，您選擇的桌面電子郵件客戶端），該應用程式就可以愉快地連線到您的帳戶。問題解決了-不相容兩步身份驗證的應用程式現在可以使用它。

等等，剛才發生什麼事了？

相關：如何避免在使用雙因素身份驗證時被鎖定

大多數人可能會繼續他們的方式，安全的知識，他們正在使用雙因素認證，是安全的。然而，“特定於應用程式的密碼”實際上是一個新密碼，它提供了對整個帳戶的訪問，完全繞過了雙因素身份驗證。這就是這些特定於應用程式的密碼如何允許依賴於記住密碼的舊應用程式執行的。

備份程式碼還允許您繞過雙因素身份驗證，但它們每次只能使用一次。與備份程式碼不同，特定於應用程式的密碼可以永遠使用，或者直到您手動撤銷它們。

為什麼稱為應用程式特定密碼

這些通常被稱為特定於應用程式的密碼，因為您應該為您使用的每個應用程式生成一個新的密碼。這就是為什麼Google和其他服務不允許您在生成這些特定於應用程式的密碼後檢視它們的原因。它們只在網站上顯示一次，你在應用程式中輸入它們，然後你就再也看不到它們了。下次您需要使用這樣的應用程式時，只需生成一個新的應用程式密碼。

這確實提供了一些安全優勢。完成應用程式後，您可以使用此處的按鈕“撤消”特定於應用程式的密碼，該密碼將不再允許訪問您的帳戶。任何使用舊密碼的應用程式都無法工作。下面截圖中的應用程式密碼被撤銷，所以可以安全地展示。

與完全不使用雙因素身份驗證相比，特定於應用程式的密碼無疑是一個很大的改進。提供特定於應用程式的密碼比為每個應用程式提供主密碼要好。撤銷特定於應用程式的密碼比完全更改主密碼更容易。

風險

如果生成了五個特定於應用程式的密碼，則有五個密碼可用於訪問您的帳戶風險很明顯：

如果密碼被洩露，它可以用來訪問您的帳戶。例如，假設您在Google帳戶上設定了雙因素身份驗證，並且您的計算機被惡意軟體感染。雙因素身份驗證通常會保護您的帳戶，但惡意軟體可能獲取儲存在Thunderbird和Pidgin等應用程式中的特定於應用程式的密碼。這些密碼可以用來直接訪問你的帳戶。
有權訪問您的計算機的人可以生成一個特定於應用程式的密碼，然後保留它，使用它進入您的帳戶，而不必在將來使用雙因素身份驗證。如果在您生成特定於應用程式的密碼並捕獲您的密碼時，有人在您身後檢視，他們就可以訪問您的帳戶。
如果您向服務或應用程式提供特定於應用程式的密碼，並且該應用程式是惡意的，那麼您不僅允許單個應用程式訪問您的帳戶—應用程式的所有者可以傳遞該密碼，其他人也可以將其用於惡意目的。

有些服務可能會試圖用特定於應用程式的密碼來限制web登入，但這更像是一種束縛。最終，特定於應用程式的密碼在設計上提供了對您的帳戶的無限制訪問，並且沒有多少方法可以阻止它。