O Google forçará o OAuth no G Suite para aumentar a segurança, seguido pelo abandono da autenticação básica que tem sido insuficiente nessa tarefa.
O Google anunciou que impedirá que aplicativos menos seguros (LSAs) acessem os dados da conta do G Suite a partir de fevereiro de 2021, após um estágio inicial de limitação de acesso durante junho de 2020.
Os LSAs são aplicativos que não são do Google e acessam as Contas do Google usando apenas um par de nome de usuário e senha, expondo os usuários que os usam para ataques de sequestro de contas.
Este anúncio segue a remoção da configuração “Enforce access to less secure apps for all users” (Impor acesso a aplicativos menos seguros para todos os usuários) do Google Admin console em 30 de outubro de 2019.
O processo pelo qual os aplicativos estão enviando pares de nome de usuário/senha a cada solicitação de autenticação feita ao conectar-se a um servidor, um terminal ou um serviço online também é conhecido como autenticação básica ou autenticação de proxy.
Embora isso simplifique o processo de autenticação, também torna muito mais fácil para os possíveis invasores roubar as credenciais do usuário quando as conexões não são protegidas usando o TLS (Transport Layer Security) ou obtê-las através de despejos (dumps) de credenciais após uma violação de dados.
Google forçará o OAuth no G Suite para aumentar a segurança
Ao mudar para o software com suporte ao OAuth, os usuários se beneficiam imediatamente do aumento da segurança, permitindo que o Google impeça os invasores de acessarem suas contas, mesmo que de alguma forma roubem suas credenciais.
Em um post publicado recentemente, o Google afirma que a partir de 15 de junho de 2020:
“Os usuários que tentarem se conectar a um LSA pela primeira vez não poderão mais fazer isso.”
“Isso inclui aplicativos de terceiros que permitem acesso apenas por senha aos calendários, contatos e e-mails do Google por meio de protocolos como CalDAV, CardDAV e IMAP. Os usuários que se conectaram aos LSAs antes desta data poderão continuar usando-os até o uso de todos os LSAs está desativado.”
- Lightning Framework, um novo malware Linux que instala rootkits, backdoors
- Como instalar o gerenciador de tokens Nitrokey-app no Linux via Snap
- Galaxy Z Flip 5 e Fold 5 Recebem Atualização de Segurança de Dezembro
- Como instalar o utilitário de backup syncBackup no Linux via Flatpak
Após 15 de fevereiro de 2021, o acesso aos LSAs será encerrado completamente para todas as contas do G Suite, de acordo com o Google.
O Google aconselha os desenvolvedores a atualizar seus aplicativos para usar o OAuth 2.0 como método de conexão para manter a compatibilidade da conta do G Suite e fornece ajuda sobre como usar o OAuth 2.0 para acessar as APIs do Google.
A empresa também fornece informações e conselhos sobre como começar a mudar para garantir o acesso ao OAuth e continuar acessando seus emails, calendários ou contatos.
A Microsoft também está migrando para a autenticação auth
A Microsoft também anunciou em setembro que a autenticação básica será desativada no Exchange Online para Exchange ActiveSync (EAS), POP, IMAP e Remote PowerShell a partir de 13 de outubro de 2020.
Isso se seguiu a um anúncio anterior feito no ano passado sobre planos para parar de oferecer suporte e remover completamente o suporte à Autenticação Básica na API do Exchange Web Services (EWS) para Office 365.
Na época, a Microsoft afirmou que:
“Os clientes são incentivados a migrar para aplicativos compatíveis com a autenticação moderna antes da remoção da autenticação básica em outubro de 2020”
“Depois de outubro de 2020, os aplicativos não poderão usar a Autenticação Básica ao se conectar ao Exchange Online. Essa alteração afeta apenas o M365 comercial no momento, não os usuários do Outlook.com de atendimento ao consumidor.”
Para desabilitar a autenticação básica do Exchange Online antes do horário de encerramento, você deve criar e atribuir políticas de autenticação a usuários individuais, seguindo o procedimento detalhado no site de suporte do Microsoft Exchange Online.
O que está sendo falado no blog
No Post found.
Post Views: 378