Google planerar att blockera åtkomsten till Gmail-kontot för vissa appar som inte använder OAuth-protokollet: här är vilka de är
Nya saker är på gång 2020 för företagsanvändare av Googles G Suite och i synnerhet för dem som får tillgång till sin Gmail-inkorg via en klient från en tredje part. Det är en stor del av användarna, eftersom e-postklienter fortfarande är mycket populära i affärsvärlden.
Google har dock meddelat att man från och med den 15 juni 2020 kommer att börja begränsa tillgången till sin svit för "mindre säkra appar" (LSA). Senast den 15 februari 2021 kommer dessa appar att vara helt blockerade. Det bör noteras att dessa appar innehåller vissa äldre versioner av Microsoft Outlook, som fortfarande används av miljontals användare världen över. Googles val är en säkerhetsåtgärd: de minst säkra apparna är de som inte använder OAuth-protokollet för användarautentisering, utan endast använder användarnamn och lösenord, och de är lättare att utsättas för phishing-attacker.
Vad är OAuth-protokollet
OAuth-protokollet är en öppen standard och inte en egenutvecklad produkt av Google. Det används också av Amazon, Twitter, Facebook och Microsoft i sina senaste appar. OAuth integrerar kontoskyddsåtgärder, samtidigt som det är flexibelt och enkelt att använda och implementera. Genom OAuth kan till exempel en tredjepartsapp få tillgång till användarens data, men utan att ha tillgång till användarens autentiseringsuppgifter. Med andra ord kan en e-postklient låta oss läsa och skriva meddelanden, men utan att känna till vårt användarnamn och lösenord, som förblir i händerna på OAuth.
Problemet är nätfiske
Om Google driver på för ett massivt införande av OAuth är det för att skydda G Suite-användare från nätfiskeattacker, som underlättas av enkel autentisering med användarnamn och lösenord. De nya begränsningarna gäller för åtkomst till Gmail, Kalender, Dokument och andra Google-tjänster. Fram till den 15 februari 2021 kommer användare som har kopplat appar till G Suite som inte använder OAuth att kunna fortsätta använda dem, om de inte redan har inaktiverats av Google under tiden.
Är OAuth säkert?
Det måste dock sägas att OAuth-protokollet inte har visat sig vara perfekt i det förflutna. År 2017 misslyckades till exempel med att blockera en attack med skadlig kod mot Gmail-användare: en infekterad app använde OAuth för att få tillgång till vissa Gmail-konton. Om användarna beviljade åtkomst började appen skicka nätfiskemeddelanden förklädda till ett vanligt e-postmeddelande som innehöll en falsk Google Docs-bilaga med en skadlig länk inuti. Efter den händelsen beslutade Google att fortsätta använda OAuth som autentiseringssystem, men skärpte säkerhetsåtgärderna för hanteringen av systemet.