<html>
  <head>
    <meta content="text/html; charset=ISO-8859-1"
      http-equiv="Content-Type">
  </head>
  <body bgcolor="#FFFFFF" text="#000000">
    <div class="moz-cite-prefix">On 04/28/2014 05:41 PM, Andrew
      Sutherland wrote:<br>
    </div>
    <blockquote cite="mid:535ECB15.9090106@asutherland.org" type="cite">
      <meta content="text/html; charset=ISO-8859-1"
        http-equiv="Content-Type">
      Use of single-factor authentication (just a password) that is used
      by both the user and all their applications is <br>
    </blockquote>
    <br>
    (continuing the unfinished sentence): not great for security since
    it becomes hard/difficult to tell the actual user apart from the
    attacker.  Specifically, this requires falling back on implicit
    second-factor authentication from the account setup.  This includes
    things like mobile numbers (which :BenB is quite reasonably
    reluctant to provide) and other email accounts.<br>
    <br>
    Google has done some really amazing work in terms of detecting
    compromised accounts/suspicious accounts and dealing with this
    situation in a way that amounts to fallback 2-factor.  But it would
    be better for everyone if everyone was just using two-factor up
    front.  It avoids problems, it helps detect problems (you know which
    oauth token leaked and therefore where the security hole might be),
    it makes it easier to recover from problems (don't need to change
    your password on all of your devices), etc.<br>
    <br>
    Andrew<br>
  </body>
</html>