Google plánuje zablokovat přístup k účtu Gmail pro některé aplikace, které nepoužívají protokol OAuth: tady jsou jejich příklady
V roce 2020 se chystají novinky pro firemní uživatele sady G Suite společnosti Google a zejména pro ty, kteří přistupují ke své schránce Gmail prostřednictvím klienta třetí strany. To je velká část uživatelů, protože e-mailoví klienti jsou ve firemním světě stále velmi oblíbení.
Google však oznámil, že od 15. června 2020 začne omezovat přístup ke své sadě "méně bezpečných aplikací" (LSA). Do 15. února 2021 budou tyto aplikace zcela zablokovány. Je třeba poznamenat, že tyto aplikace zahrnují některé starší verze aplikace Microsoft Outlook, které stále používají miliony uživatelů po celém světě. Volba společnosti Google je bezpečnostním opatřením: nejméně bezpečné jsou aplikace, které nepoužívají protokol OAuth pro ověřování uživatelů, ale používají pouze uživatelské jméno a heslo, a jsou tak snadněji vystaveny phishingovým útokům.
Co je protokol OAuth
Protokol OAuth je otevřený standard a není vlastnictvím společnosti Google. Využívají ji také společnosti Amazon, Twitter, Facebook a Microsoft ve svých nejnovějších aplikacích. Protokol OAuth integruje opatření na ochranu účtů a zároveň zachovává dobrou flexibilitu a snadné použití a implementaci. Prostřednictvím protokolu OAuth může například aplikace třetí strany přistupovat k datům uživatele, ale bez přístupu k jeho přihlašovacím údajům. Jinými slovy, e-mailový klient nám může umožnit číst a psát zprávy, ale bez znalosti našeho uživatelského jména a hesla, které zůstávají v rukou OAuth.
Problémem je phishing
Pokud Google prosazuje masivní implementaci OAuth, je to proto, aby ochránil uživatele G Suite před phishingovými útoky, které usnadňuje jednoduché ověřování uživatele a hesla. Nová omezení se budou vztahovat na přístup ke službě Gmail, Kalendáři, Dokumentům a dalším službám Google. Až do 15. února 2021 budou moci uživatelé, kteří ke službě G Suite připojili aplikace, které nepoužívají protokol OAuth, tyto aplikace nadále používat, pokud je společnost Google mezitím nezakázala.
Je protokol OAuth bezpečný?
Je však třeba také říci, že protokol OAuth se v minulosti neosvědčil jako dokonalý. V roce 2017 se například nepodařilo zablokovat útok malwaru na uživatele Gmailu: infikovaná aplikace použila OAuth k získání přístupu k některým účtům Gmailu. Pokud uživatelé přístup povolili, aplikace začala odesílat podvodné zprávy maskované jako běžné e-mailové zprávy obsahující falešnou přílohu ve formátu Dokumentů Google se škodlivým odkazem uvnitř. Po této epizodě se společnost Google rozhodla nadále používat OAuth jako systém ověřování, ale zpřísnila bezpečnostní opatření související s jeho správou.