据我所知,谷歌的应用程序专用密码可用于访问我的 Gmail,但需要从其他电子邮件客户端(非 Web UI)访问。那么使用它们有什么意义呢?
另外,Google 的两步验证能防止 cookie 被窃取吗?我的意思是,如果有人窃取了我的 Google cookie,他能登录我的 Google 帐户吗?
答案1
重点是它对攻击者可以访问的内容施加了额外的限制。例如,如果访问您 Google 帐户的第三方服务或应用受到攻击,并且泄露了您的密码(!),您可以轻松地撤销该密码,而不会影响使用您帐户的任何其他应用或服务。
而且,即使有人访问了您的帐户,他们也只能访问最多 30 天,然后就会失去访问权限,这比您不知道他们拥有无限期的访问权限要好。
答案2
来自另一个网站的一个很好的解释:
应用专用密码背后的想法是为不支持两步验证的协议(如 POP 或 IMAP)启用双因素验证。
如果我知道您的主密码,我将无法从浏览器访问您的帐户(因为我没有验证码),也无法从 Outlook 等客户端访问(因为他们不接受您的主密码)。
应用专用密码仅适用于 要求您将密码提供给它。您不能在浏览器中使用应用程序专用密码。这意味着,如果我获得了您的某个应用程序专用密码,我就无法登录您的 Blogger 帐户或更改您的 Gmail 过滤器。事实上,我可以阅读您的邮件并在聊天中冒充您。但我无法锁定您的帐户。