Google forçará o OAuth no G Suite para aumentar a segurança

O Google forçará o OAuth no G Suite para aumentar a segurança, seguido pelo abandono da autenticação básica que tem sido insuficiente nessa tarefa.

O Google anunciou que impedirá que aplicativos menos seguros (LSAs) acessem os dados da conta do G Suite a partir de fevereiro de 2021, após um estágio inicial de limitação de acesso durante junho de 2020.

Google forçará o OAuth no G Suite para aumentar a segurança
Google forçará o OAuth no G Suite para aumentar a segurança

Os LSAs são aplicativos que não são do Google e acessam as Contas do Google usando apenas um par de nome de usuário e senha, expondo os usuários que os usam para ataques de sequestro de contas.

Este anúncio segue a remoção da configuração “Enforce access to less secure apps for all users” (Impor acesso a aplicativos menos seguros para todos os usuários) do Google Admin console em 30 de outubro de 2019.

O processo pelo qual os aplicativos estão enviando pares de nome de usuário/senha a cada solicitação de autenticação feita ao conectar-se a um servidor, um terminal ou um serviço online também é conhecido como autenticação básica ou autenticação de proxy.

Embora isso simplifique o processo de autenticação, também torna muito mais fácil para os possíveis invasores roubar as credenciais do usuário quando as conexões não são protegidas usando o TLS (Transport Layer Security) ou obtê-las através de despejos (dumps) de credenciais após uma violação de dados.

Google forçará o OAuth no G Suite para aumentar a segurança

Ao mudar para o software com suporte ao OAuth, os usuários se beneficiam imediatamente do aumento da segurança, permitindo que o Google impeça os invasores de acessarem suas contas, mesmo que de alguma forma roubem suas credenciais.

Em um post publicado recentemente, o Google afirma que a partir de 15 de junho de 2020:

“Os usuários que tentarem se conectar a um LSA pela primeira vez não poderão mais fazer isso.”

“Isso inclui aplicativos de terceiros que permitem acesso apenas por senha aos calendários, contatos e e-mails do Google por meio de protocolos como CalDAV, CardDAV e IMAP. Os usuários que se conectaram aos LSAs antes desta data poderão continuar usando-os até o uso de todos os LSAs está desativado.”

Após 15 de fevereiro de 2021, o acesso aos LSAs será encerrado completamente para todas as contas do G Suite, de acordo com o Google.

O Google aconselha os desenvolvedores a atualizar seus aplicativos para usar o OAuth 2.0 como método de conexão para manter a compatibilidade da conta do G Suite e fornece ajuda sobre como usar o OAuth 2.0 para acessar as APIs do Google.

A empresa também fornece informações e conselhos sobre como começar a mudar para garantir o acesso ao OAuth e continuar acessando seus emails, calendários ou contatos.

A Microsoft também está migrando para a autenticação auth

A Microsoft também anunciou em setembro que a autenticação básica será desativada no Exchange Online para Exchange ActiveSync (EAS), POP, IMAP e Remote PowerShell a partir de 13 de outubro de 2020.

Isso se seguiu a um anúncio anterior feito no ano passado sobre planos para parar de oferecer suporte e remover completamente o suporte à Autenticação Básica na API do Exchange Web Services (EWS) para Office 365.

Na época, a Microsoft afirmou que:

“Os clientes são incentivados a migrar para aplicativos compatíveis com a autenticação moderna antes da remoção da autenticação básica em outubro de 2020”

“Depois de outubro de 2020, os aplicativos não poderão usar a Autenticação Básica ao se conectar ao Exchange Online. Essa alteração afeta apenas o M365 comercial no momento, não os usuários do Outlook.com de atendimento ao consumidor.”

Para desabilitar a autenticação básica do Exchange Online antes do horário de encerramento, você deve criar e atribuir políticas de autenticação a usuários individuais, seguindo o procedimento detalhado no site de suporte do Microsoft Exchange Online.

O que está sendo falado no blog

No Post found.

Post Views: 378
Sobre o Edivaldo Brito

Edivaldo Brito é analista de sistemas, gestor de TI, blogueiro e também um grande fã de sistemas operacionais, banco de dados, software livre, redes, programação, dispositivos móveis e tudo mais que envolve tecnologia.

Deixe um comentário

Esse site utiliza o Akismet para reduzir spam. Aprenda como seus dados de comentários são processados.