Google encerrará o suporte ao Google Sync e a apps menos seguras

 (workspaceupdates.googleblog.com)
1 pontos por GN⁺ 2024-01-20 | 1 comentários | Compartilhar no WhatsApp

Atualização do Google Workspace

  • A partir de 30 de setembro de 2024: apps de terceiros que usam apenas senha para acessar contas do Google e o Google Sync não serão mais compatíveis.
  • Mudança: o Google Workspace não oferecerá mais suporte a métodos de login de apps ou dispositivos de terceiros que exigem o compartilhamento do nome de usuário e da senha do Google.
  • Risco de segurança: o método anterior, Less Secure Apps (LSA), aumenta o risco de segurança porque exige o compartilhamento das credenciais da Conta do Google com apps e dispositivos de terceiros.
  • Método mais seguro: deve-se usar a opção Fazer login com o Google, que utiliza autenticação OAuth para sincronizar e-mails com outros apps de forma mais segura e protegida.

Cronograma de descontinuação do acesso via LSA

  • A partir de 15 de junho de 2024: a configuração de LSA será removida do console de administração e não poderá mais ser alterada. Usuários com a opção ativada ainda poderão se conectar, mas usuários com a opção desativada não poderão mais acessar LSA.
  • A partir de 30 de setembro de 2024: o acesso via LSA será encerrado para todas as contas do Google Workspace. CalDAV, CardDAV, IMAP, POP e Google Sync não funcionarão mais com login apenas por senha e passarão a exigir OAuth.

Encerramento do serviço Google Sync

  • A partir de 15 de junho de 2024: novos usuários não poderão se conectar ao Google Workspace por meio do Google Sync.
  • 30 de setembro de 2024: usuários atuais do Google Sync não poderão mais se conectar ao Google Workspace.

Orientações para administradores e usuários finais

  • Administradores: devem migrar para um tipo de acesso mais seguro, chamado OAuth, para que os usuários finais continuem usando esse tipo de app com suas contas do Google Workspace.
  • Impacto no gerenciamento de dispositivos móveis (MDM): organizações que usam um fornecedor de MDM para configurar perfis de IMAP, CalDAV, CardDAV, POP ou Exchange ActiveSync (Google Sync) terão o serviço descontinuado gradualmente.
  • Scanners e outros dispositivos: scanners ou outros dispositivos que enviam e-mails usando SMTP ou LSA devem ser configurados para usar OAuth, adotar um método alternativo ou definir senhas de app para uso com o dispositivo.

Orientações para usuários finais

  • Aplicativos de e-mail: se você usa uma versão anterior ao Outlook 2016, deve migrar para o Microsoft 365 ou trocar para o Outlook para Windows ou Mac com suporte a acesso via OAuth.
  • Aplicativos de calendário: se você usa um app com CalDAV baseado em senha, deve migrar para uma opção com suporte a OAuth.
  • Aplicativos de contatos: se você sincroniza contatos no iOS ou MacOS via CardDAV e faz login apenas com senha, será necessário remover e adicionar a conta novamente.

Orientações para desenvolvedores

  • Desenvolvedores: devem atualizar seus apps para usar OAuth 2.0 como método de conexão, a fim de manter a compatibilidade com contas do Google Workspace.

Disponibilidade

  • Essa mudança afeta todos os clientes do Google Workspace.

Opinião do GN⁺

  • Esta atualização é uma medida importante para reforçar a segurança dos usuários do Google Workspace. Fortalecer a segurança da conta ao usar OAuth no lugar de apps menos seguras (LSA) que dependem apenas de senha é essencial no cenário atual de cibersegurança.
  • Ela afeta tanto administradores quanto usuários finais, e especialmente quem usa apps de e-mail, calendário e contatos precisará migrar para o novo método de autenticação.
  • Este texto oferece informações úteis para ajudar usuários e administradores do Google Workspace a se prepararem para as próximas atualizações de segurança e tomarem as medidas necessárias.

Leituras relacionadas

1 comentários

 
GN⁺ 2024-01-20
Comentários do Hacker News

  • O usuário tem scripts que interagem com o Gmail e ficou surpreso com o fim do suporte a "Less Secure Apps", mas ficou aliviado ao ver que as senhas de app aparentemente continuarão funcionando. Demonstra preocupação de que, se só houver suporte a OAuth, muitas automações vão parar de funcionar. Reclama da complexidade do OAuth e avalia positivamente a documentação de um módulo Perl que explicou claramente como o OAuth funciona.

  • Quando não é possível usar OAuth, o usuário pode usar seu próprio proxy para que clientes IMAP ou POP/SMTP possam ser usados com provedores de e-mail "modernos", mesmo que não suportem OAuth 2.0. O cliente não precisa saber nada sobre OAuth.

  • IMAP, SMTP e POP permitem um acesso considerável à conta do Google, mas não conseguem fazer autenticação em dois fatores nem verificações anti-bot, o que os torna vulneráveis a ataques de credential stuffing. O comentário avalia positivamente que o Google tenha desativado esse tipo de acesso por padrão para proteger os usuários desses ataques, e vê esta medida como voltada aos usuários restantes.

  • É apontado que essa mudança tem a intenção de empurrar os usuários para o próprio app de e-mail do Google. Sem o app Gmail ou o Google Sync, que será descontinuado em breve, não é possível receber notificações de e-mail em tempo real. O usuário expressa incômodo apesar de pagar pelo Google Workspace. No desktop, o Mimestream ainda funciona, mas há preocupação de que o Google tente bloquear isso.

  • No Android, uma das coisas mais irritantes no Oauth2 e no Google é que não dá para entrar com uma conta do Google no cliente de e-mail ou no calendário sem vincular o telefone inteiro à conta Google. Isso também concede permissões de política do dispositivo a essa conta Google. O usuário observa que não é possível ignorar isso completamente e aponta que o Google pode facilmente restringir o uso de oauth2 dentro do WebView no Android.

  • Senhas de app são senhas de 16 caracteres que só podem ser usadas em contas com autenticação em dois fatores ativada. É apontado que os "apps menos seguros" fornecem o mesmo nível de segurança que apps com suporte a OAuth, mas isso é possível usando mecanismos do lado do servidor que o Google pôde promover por muito tempo. O comentário faz uma crítica à forma como o Google interpreta questões de segurança de um jeito que promove sua própria agenda.

  • Explica-se que as senhas específicas de app (App-Specific Passwords) aparentemente continuarão funcionando, e que, se você usa um app sem suporte a OAuth, terá de migrar para um app com suporte a OAuth ou gerar uma senha de app para manter o acesso.

  • É explicado que essa mudança se aplica apenas a contas Workspace; contas comuns do Gmail já foram afetadas por isso há alguns anos.

  • Cerca de 10 anos atrás, foi construído um sistema que permitia autenticação na rede interna com contas individuais do Google por meio de integração com o diretório de contas Google. Pelos padrões atuais isso é menos seguro, mas é avaliado positivamente por permitir conexão imediata à rede interna sem passar por VPN, economizando tempo para todos.

  • Houve dificuldades ao lidar com a transição da Microsoft para OAuth, e o problema é que o processo é muito opaco. Você envia o token e o servidor apenas responde "não", sem explicar por que não funcionou, o que levou a vários dias de depuração. É levantada a dúvida se os servidores de e-mail do Google são melhores nesse aspecto.