Google周一宣佈從2020年6月起,將禁止不安全app存取G Suite帳號,第三方app必須支援OAuth。

不安全app (Less secure app,LSA)是指非Google推出,但以帳號密碼存取Google帳號,包括Google行事曆、通訊錄或電子郵件的app。Google表示,這種app可能讓用戶帳號被劫持,並給期限要求用戶使用支援OAuth協定的app。

這是繼今年10月底Google首次封鎖不安全app以強化企業用戶的安全。10月底起,G Suite從管理員控制台移除可讓同一網域下所有用戶存取這類app的選項,只有個別用戶可以透過帳號設定存取。

Google指出,企業員工可能想用iOS 郵件app來收發工作相關郵件,但這可能讓G Suite帳號陷入被劫持的風險。由於這類存取方式只驗證帳號、密碼,若帳密因為用戶和其他網站共用密碼而被駭客取得,駭客就可以直接存取G Suite相關資訊。

相反的,app支援OAuth協定讓G Suite可以獲取更多登入資訊驗證是否為用戶本人,防止帳密為第三人所用。OAuth也允許G Suite執行管理員定義的登入政策,像是用硬體金鑰或啟用白名單等安全管控。

Google將以2階段來執行最新政策。首先,從2020年6月15日起,過去沒以LSA登入Google帳號的新用戶也無法這麼做了。這會影響以CalDAV、CardDAV和IMAP、及Exchange ActiveSync等協定登入Google帳號的app。2021年2月15日起,Google就會禁止所有以不支援OAuth的第三方app存取G Suite帳號。

對管理員而言,從2021年2月15日起,用上述協定管理行動裝置的企業確保要求其行動裝置管理(MDM)供應商支援OAuth 2.0,才能讓行動裝置用戶登入G Suite。

因此,使用Thunderbird的用戶必須先自G Suite帳號移除,再重新加入且設定使用OAuth,iOS、MacOS版Mail、Outlook for Mac移除後再加入會自動使用OAuth。Outlook用戶則可使用支援G Suite的版本,或使用支援OAuth的Office 365或Outlook 2019。

目前以SMTP協定或LSA傳送電子郵件的裝置如掃瞄機app並不強制要求,但Google還是鼓勵未來裝置還是能支援OAuth為宜。

微軟也宣佈將在明年10月13日禁止只有帳密驗證的第三方app,透過Exchange ActiveSync (EAS)、POP、IMAP和Remote PowerShell存取Office 365/Exchange Online。


Advertisement

更多 iThome相關內容