oAuth 如何更安全？

我至少可以看到一些可能的积极因素。

1. 它减少了密码重复使用的机会。您输入密码的位置越多，严重泄漏的可能性就越高，如果您重复使用密码，那么其他网站也面临风险。
2. 它提供了一个中央机构，能够一次性快速撤销对大量站点的访问。由于网站仅由 Google 授予“访问令牌”，因此它们都可以是唯一的，可以单独或一次全部撤销。
3. 它隐藏了网站处理密码更改和安全存储密码的需要。如果他们从未收到密码，那么他们就无法以明文形式存储密码，有些网站已经或可能仍然这样做。
   他们仍然应该安全地处理令牌，但在发生违规的情况下这是一个更简单的过程。通知 OAuth 提供商违规，他们会撤销您的令牌，直到您下次用户进行身份验证时获得一个新令牌。

它确实依赖于您的 OAuth 提供程序的安全性，但是在一个地方重置密码仍然比在 50 或 500 个站点上重置密码要容易得多。

技术优势是：

• 由于 OAuth 的“初始身份验证”部分是通过网站完成的，因此它可以更轻松地要求其他身份验证因素，而不仅仅是密码。例如，它可能要求 TOTP 一次性代码或 U2F 密钥。（如果需要，它也可以有 reCAPTCHA。）

  • 通常，这也意味着您输入的密码仅对 Web 浏览器可见——邮件应用程序从未真正看到它。

    如今，谷歌尤其在防止身份验证页面被加载到“嵌入式”浏览器中时更加激进，这可能会向主机程序泄露密码。（旧的 GNOME 版本过去这样做是半合法的，因为它们需要使用当时还不支持 OAuth2 的某些 Google API。）

  • 使用网站还允许 UI 与实际的基于 Web 的服务更加一致，并且在应用程序中实现比发明新的自定义多步骤身份验证方法更简单。

    （与 SSH 相比，它确实有一个“KeyboardInteractive”身份验证方法，可以显示带有自定义文本的多个提示 - 适用于基本密码+OTP 或密钥对+OTP，但总体而言，在 2FA 方面相当笨拙。许多公司实际上结束了以非常类似于 OAuth2 令牌或 Kerberos 票证的方式实施使用短期 SSH 密钥对的系统——您通过公司 SSO 网站进行身份验证以获取当天的 SSH 密钥。）

• 颁发给您的邮件客户端的令牌只能访问特定服务（范围），在这种情况下是 IMAP 和 SMTP——例如，它不能用于访问您的云端硬盘文件或 YouTube 历史记录。

  • 尽管这有可能在服务提供商方面被滥用（例如，Google 需要对拥有超过 100 个用户并希望访问与邮件相关的范围的 OAuth2 应用程序进行昂贵的“验证”）。

  • 手动生成的“应用程序密码”也可能仅限于特定服务，但很少有人会有效地使用该功能——例如，这可以通过 GitHub 访问令牌实现，但需要花费太多的精力来确定（通常通过反复试验）哪个什么应用程序需要范围，因此启用每个可能的范围都会生成许多令牌......

服务商也有一些“纵深防御”的优势：

• 实际的服务永远不会收到您的实际密码（甚至也不会收到刷新令牌——只有短暂的访问令牌），因此即使一项服务遭到破坏，它也无法收集访问其他服务的凭据（“横向移动”？）。

  • 这与在 Active Directory 中使用 Kerberos 票证或在企业 SSO 系统中使用 SAML 断言非常相似。

    在所有此类系统中，不是所有需要访问用户数据库的服务（并且所有这些都是有价值的目标），您只剩下 KDC 或 IdP 处于特权位置。