Zewnętrzne aplikacje stracą dostęp do kont G Suite

Google uruchamia dodatkowe środki bezpieczeństwa, które mają zapobiec wyciekom danych użytkowników G Suite za pośrednictwem tzw. mniej bezpiecznych aplikacji (ang. Less Secure Apps). Zmiana wejdzie w życie częściowo w czerwcu 2020 i ostatecznie w lutym 2021, ale warto się na nią przygotować już teraz, bo prawdopodobnie będzie miała duży wpływ na funkcjonowanie Twojej firmy w środowisku Google. Z tego artykułu dowiesz się co nas czeka i jak zapobiec problemom. 

Czym są LSA?

LSA to aplikacje zewnętrznych producentów, które uzyskują dostęp do Twojego konta Google za pomocą nazwy użytkownika i hasła. Do tej kategorii wpada mnóstwo rozszerzeń i dodatków, którym przyznaliśmy zgody dostępu, by mogły wspomagać naszą pracę w Gmailu, aplikacjach Google i przeglądarce Chrome. 

Przykłady LSA:

• Klient poczty, taki jak Microsoft Outlook lub natywne rozwiązanie pocztowe w systemie operacyjnym Twojego smartfona – najnowsze wersje tych aplikacji często korzystają już z protokołu OAuth 2.0, ale starsze wciąż nie są w pełni bezpieczne. 
• System wysyłający wiadomości (SMTP)
• Aplikacje łączące konto Gmail z formularzem na stronie WWW (aby wysyłał powiadomienia jako konto)
• Aplikacje skanerów i drukarek, które łączą się z kontem G Suite.

W ustawieniach naszego konta Google od dawna mamy możliwość manualnego wyłączenia dostępu dla LSA. Od lutego 2021 nie będziemy mieli wyboru – wszystkie LSA będą permanentnie odłączone, a od początku czerwca tego roku stracimy możliwość autoryzowania nowych aplikacji tego typu (choć nadal będziemy mogli korzystać z tych dodanych wcześniej). 

Co się zmieni w czerwcu 2020?

Wszystkie aplikacje, które nie spełniają zaostrzonych standardów bezpieczeństwa stracą możliwość łączenia się z kontami G Suite. Nie będzie można autoryzować nowych,o ile producenci nie wyposażą ich w protokół OAuth. Nadal jednak będziemy mogli korzystać z uprzednio dodanych aplikacji.

Pełna blokada LSA w lutym 2021

Aplikacje bez protokołu OAuth, które dodaliśmy przed czerwcem 2020 zostaną na stałe rozłączone z naszym kontem i przestaną mieć dostęp do przechowywanych na nim danych. Od tej pory, gdy będziemy chcieli ich użyć, to pojawi się komunikat o błędzie autoryzacji. 

Dlaczego ta zmiana jest potrzebna?

Luka w bezpieczeństwie LSA polega na tym, że nasze hasło i adres to jedyne, czego potrzebują, aby uzyskać dostęp do naszych danych. W czasach, gdy świadomość cyberzagrożeń rośnie i coraz więcej użytkowników decyduje się na uruchomienie weryfikacji dwustopniowej, aplikacje tego typu mogą stanowić furtkę dla przestępców. Obecnie nawet my sami musimy wykorzystać do logowania coś więcej niż hasło (klucz U2F, bądź kod SMS) – czemu mielibyśmy dawać więcej przywilejów aplikacjom?

Przykładowo, jeśli połączyliśmy nasze konto G Suite z aplikacją wykorzystującą OAuth, która padnie ofiarą ataku hakerskiego, to wśród danych, które zostały wykradzione nie będzie hasła do naszego konta. W innym scenariuszu, gdy nasze służbowe urządzenie mobilne zostanie skradzione, to złodziej może za pomocą LSA uzyskać dostęp do naszego konta i pominąć wszystkie dodatkowe zabezpieczenia – mając dostęp do naszego Gmaila, może zresetować nasze hasła na innych portalach. Jeśli nie korzystamy z LSA to administrator G Suite może zablokować dostęp do konta na skradzionym urządzeniu i wszystkie nasze dane pozostaną bezpieczne. 

Co to jest protokół OAuth?

OAuth to framework autoryzacyjny, czyli otwarty protokół, dzięki któremu można budować zaawansowane mechanizmy autoryzacyjne dla aplikacji mobilnych, WWW oraz dla klasycznych programów. Aplikacje, które wykorzystują ten protokół, gwarantują Ci nowoczesną i bezpieczną metodę dostępu do danych.

Jak uchronić się przed utrudnieniami? 

Google ostrzega przed tą ważną zmianą z wyprzedzeniem, abyśmy mogli odpowiednio się do niej przygotować. 

Jeśli jesteś developerem aplikacji współpracujących z Google, to wyposaż swój produkt w protokół OAuth i poinformuj użytkowników, które wersje aplikacji przestaną być wspierane. 

Jeśli jesteś użytkownikiem G Suite, to zaktualizuj wszystkie aplikacje połączone z kontem do najnowszych wersji. Tak samo należy postąpić z klientami poczty zainstalowanymi na komputerze – przykładowo, Microsoft Outlook z 2016 roku lub starszy przestanie działać z Gmailem, ale wszystkie nowsze wersje programu będą funkcjonować poprawnie. 

Jako oficjalny partner Google możemy pomóc Twojej organizacji przystosować się do nadchodzących zmian, więc jeśli jeszcze nie współpracujesz z partnerem, to skontaktuj się z nami.