Google planuje zablokować dostęp do konta Gmail niektórym aplikacjom, które nie korzystają z protokołu OAuth: oto jakie to aplikacje
W 2020 roku nadchodzą nowe rzeczy dla biznesowych użytkowników pakietu G Suite Google, a w szczególności dla tych, którzy uzyskują dostęp do swojej skrzynki Gmail za pośrednictwem klienta innej firmy. To spory kawałek użytkowników, ponieważ klienci poczty elektronicznej są nadal bardzo popularne w świecie biznesu.
Google, jednak ogłosił, że od 15 czerwca 2020 r. zacznie ograniczać dostęp do swojego pakietu przez "mniej bezpiecznych aplikacji" (LSA). Do 15 lutego 2021 r. aplikacje te zostaną całkowicie zablokowane. Należy zauważyć, że te aplikacje zawierają niektóre starsze wersje programu Microsoft Outlook, które są nadal używane przez miliony użytkowników na całym świecie. Wybór Google jest środkiem bezpieczeństwa: najmniej bezpieczne aplikacje to te, które nie używają protokołu OAuth do uwierzytelniania użytkownika, a jedynie używają nazwy użytkownika i hasła, i łatwiej ulegają atakom phishingowym.
Co to jest protokół OAuth
Protokół OAuth jest otwartym standardem i nie jest własnością Google. Korzystają z niego także Amazon, Twitter, Facebook oraz sam Microsoft w swoich najnowszych aplikacjach. OAuth integruje środki ochrony konta, zachowując przy tym dobrą elastyczność i łatwość użycia i wdrożenia. Na przykład, poprzez OAuth, zewnętrzna aplikacja może uzyskać dostęp do danych użytkownika, ale bez dostępu do jego danych uwierzytelniających. Innymi słowy, klient poczty może pozwolić nam czytać i pisać wiadomości, ale bez znajomości naszej nazwy użytkownika i hasła, które pozostają w rękach OAuth.
Problemem jest phishing
Jeśli Google naciska na masowe wdrożenie OAuth, to po to, by chronić użytkowników G Suite przed atakami phishingowymi, ułatwionymi przez proste uwierzytelnianie użytkownika i hasła. Nowe ograniczenia będą dotyczyły dostępu do poczty Gmail, a także Kalendarza, Dokumentów i innych usług Google. Do 15 lutego 2021 r. użytkownicy, którzy podłączyli do G Suite aplikacje nie korzystające z OAuth, będą mogli nadal z nich korzystać, o ile nie zostały one w międzyczasie wyłączone przez Google.
Czy OAuth jest bezpieczny?
Musimy jednak również powiedzieć, że protokół OAuth nie okazał się w przeszłości idealny. Na przykład w 2017 r. nie udało się zablokować ataku złośliwego oprogramowania na użytkowników Gmaila: zainfekowana aplikacja wykorzystała OAuth, aby uzyskać dostęp do niektórych kont Gmaila. Jeśli użytkownik udzielił dostępu, aplikacja zaczynała wysyłać wiadomości phishingowe pod postacią zwykłego e-maila zawierającego fałszywy załącznik do Dokumentów Google ze złośliwym linkiem w środku. Po tym epizodzie Google zdecydowało się nadal używać OAuth jako systemu uwierzytelniania, ale zaostrzyło środki bezpieczeństwa związane z zarządzaniem nim.