Google ngừng hỗ trợ Google Sync và các ứng dụng có bảo mật yếu

 (workspaceupdates.googleblog.com)
1 điểm bởi GN⁺ 2024-01-20 | 1 bình luận | Chia sẻ qua WhatsApp

Cập nhật Google Workspace

  • Từ ngày 30 tháng 9 năm 2024: Các ứng dụng bên thứ ba chỉ dùng mật khẩu để truy cập Tài khoản Google và Google Sync sẽ აღარ được hỗ trợ.
  • Thay đổi: Google Workspace sẽ აღარ hỗ trợ phương thức đăng nhập của các ứng dụng hoặc thiết bị bên thứ ba yêu cầu người dùng chia sẻ tên người dùng Google và mật khẩu của họ.
  • Rủi ro bảo mật: Phương thức cũ Less Secure Apps (LSA) làm tăng rủi ro bảo mật vì yêu cầu chia sẻ thông tin xác thực Tài khoản Google với ứng dụng và thiết bị bên thứ ba.
  • Phương thức an toàn hơn: Cần sử dụng tùy chọn Đăng nhập bằng Google, sử dụng phương thức xác thực OAuth để đồng bộ email với các ứng dụng khác theo cách an toàn và bảo mật hơn.

Lịch dừng truy cập LSA

  • Từ ngày 15 tháng 6 năm 2024: Cài đặt LSA sẽ bị xóa khỏi bảng điều khiển quản trị và không thể thay đổi nữa. Người dùng đã được bật vẫn có thể kết nối, nhưng người dùng đã bị tắt sẽ không còn có thể truy cập LSA.
  • Từ ngày 30 tháng 9 năm 2024: Quyền truy cập LSA sẽ bị dừng đối với tất cả tài khoản Google Workspace. CalDAV, CardDAV, IMAP, POP và Google Sync sẽ không hoạt động khi đăng nhập chỉ bằng mật khẩu và sẽ phải dùng OAuth.

Kết thúc dịch vụ Google Sync

  • Từ ngày 15 tháng 6 năm 2024: Người dùng mới sẽ không thể kết nối với Google Workspace thông qua Google Sync.
  • Ngày 30 tháng 9 năm 2024: Người dùng Google Sync hiện tại sẽ không thể kết nối với Google Workspace.

Hướng dẫn cho quản trị viên và người dùng cuối

  • Quản trị viên: Cần chuyển sang loại truy cập an toàn hơn là OAuth để người dùng cuối có thể tiếp tục sử dụng các loại ứng dụng này với tài khoản Google Workspace.
  • Ảnh hưởng đến quản lý thiết bị di động (MDM): Các tổ chức cấu hình hồ sơ IMAP, CalDAV, CardDAV, POP hoặc Exchange ActiveSync (Google Sync) bằng nhà cung cấp MDM sẽ bị ảnh hưởng khi dịch vụ bị ngừng theo từng giai đoạn.
  • Máy quét và các thiết bị khác: Máy quét hoặc thiết bị khác gửi email bằng SMTP hoặc LSA cần được cấu hình để dùng OAuth, sử dụng phương thức thay thế hoặc cấu hình mật khẩu ứng dụng để dùng cùng thiết bị.

Hướng dẫn cho người dùng cuối

  • Ứng dụng email: Nếu đang dùng phiên bản cũ hơn Outlook 2016, bạn cần chuyển sang Microsoft 365 hoặc sang Outlook cho Windows hoặc Mac có hỗ trợ truy cập OAuth.
  • Ứng dụng lịch: Nếu đang dùng ứng dụng sử dụng CalDAV dựa trên mật khẩu, bạn cần chuyển sang phương thức có hỗ trợ OAuth.
  • Ứng dụng danh bạ: Nếu đang đồng bộ danh bạ qua CardDAV trên iOS hoặc macOS và đăng nhập chỉ bằng mật khẩu, bạn sẽ cần xóa tài khoản rồi thêm lại.

Hướng dẫn cho nhà phát triển

  • Nhà phát triển: Cần cập nhật ứng dụng để sử dụng OAuth 2.0 làm phương thức kết nối nhằm duy trì khả năng tương thích với tài khoản Google Workspace.

Khả dụng

  • Thay đổi này ảnh hưởng đến tất cả khách hàng Google Workspace.

Ý kiến của GN⁺

  • Bản cập nhật này là một biện pháp quan trọng để tăng cường bảo mật cho người dùng Google Workspace. Việc củng cố bảo mật tài khoản bằng OAuth thay cho các ứng dụng kém an toàn chỉ dùng mật khẩu (LSA) là điều thiết yếu trong môi trường an ninh mạng hiện đại.
  • Thay đổi này ảnh hưởng đến cả quản trị viên và người dùng cuối; đặc biệt, những người dùng ứng dụng email, lịch và danh bạ sẽ cần chuyển sang phương thức xác thực mới.
  • Bài viết này cung cấp thông tin hữu ích để người dùng và quản trị viên Google Workspace chuẩn bị cho các bản cập nhật bảo mật sắp tới và thực hiện các biện pháp cần thiết.

Bài viết liên quan

1 bình luận

 
GN⁺ 2024-01-20
Ý kiến trên Hacker News

  • Người dùng có các script tương tác với Gmail nên đã bất ngờ trước tin ngừng hỗ trợ "Less Secure Apps", nhưng yên tâm vì có vẻ mật khẩu ứng dụng vẫn sẽ tiếp tục hoạt động. Họ lo ngại rằng nếu đến lúc chỉ còn hỗ trợ OAuth thì rất nhiều quy trình tự động hóa sẽ bị gián đoạn. Họ than phiền về độ phức tạp của OAuth và đánh giá tích cực tài liệu của một module Perl đã giải thích rõ ràng cách OAuth hoạt động.

  • Khi không thể dùng OAuth, người dùng có thể dùng proxy riêng của mình để các ứng dụng IMAP hoặc POP/SMTP có thể hoạt động với các nhà cung cấp email "hiện đại" ngay cả khi client không hỗ trợ OAuth 2.0. Client không cần phải biết gì về OAuth.

  • IMAP, SMTP, POP cho phép mức truy cập khá lớn vào tài khoản Google nhưng không thể thực hiện xác minh hai bước hay kiểm tra chống bot, nên dễ bị tấn công credential stuffing. Google đã mặc định vô hiệu hóa kiểu truy cập này để bảo vệ người dùng trước các cuộc tấn công như vậy, và họ đánh giá tích cực việc thay đổi lần này là để xử lý nhóm người dùng còn lại.

  • Có ý kiến chỉ ra rằng thay đổi này nhằm đẩy người dùng sang ứng dụng mail của chính Google. Nếu không có ứng dụng Gmail hoặc Google Sync sắp bị khai tử thì sẽ không thể nhận thông báo email theo thời gian thực. Người dùng bày tỏ sự bất tiện dù họ vẫn đang trả tiền cho Google Workspace. Trên desktop, Mimestream vẫn còn hoạt động, nhưng họ lo Google rồi cũng sẽ chặn nốt.

  • Điều khó chịu nhất của Oauth2 và Google trên Android là không thể đăng nhập tài khoản Google vào ứng dụng email hay lịch nếu không liên kết toàn bộ điện thoại với tài khoản Google đó. Việc này cũng đồng thời cấp quyền chính sách thiết bị cho tài khoản Google đó. Người dùng không thể hoàn toàn phớt lờ điều này, và chỉ ra rằng trên Android, Google có thể dễ dàng hạn chế việc dùng oauth2 trong WebView.

  • Mật khẩu ứng dụng là mật khẩu 16 ký tự, chỉ dùng được với các tài khoản đã bật xác minh hai bước. Có ý kiến cho rằng "ứng dụng kém an toàn hơn" thực ra có thể cung cấp mức bảo mật tương đương với các ứng dụng hỗ trợ OAuth, nhờ sử dụng cơ chế phía máy chủ mà Google từ lâu đã có thể quảng bá. Họ chỉ trích cách Google diễn giải vấn đề bảo mật theo hướng phục vụ chương trình nghị sự của riêng mình.

  • Có giải thích rằng mật khẩu dành riêng cho ứng dụng (App-Specific Passwords) có vẻ vẫn sẽ tiếp tục hoạt động; nếu đang dùng ứng dụng không hỗ trợ OAuth thì người dùng sẽ phải chuyển sang ứng dụng có hỗ trợ OAuth hoặc tạo mật khẩu ứng dụng để truy cập.

  • Có ý kiến giải thích rằng thay đổi này chỉ áp dụng cho tài khoản Workspace; với tài khoản Gmail thông thường thì việc này đã được áp dụng từ vài năm trước.

  • Khoảng 10 năm trước, có người đã xây dựng một hệ thống cho phép xác thực vào mạng nội bộ bằng từng tài khoản Google riêng lẻ thông qua tích hợp với directory tài khoản Google. Theo tiêu chuẩn hiện đại thì nó kém an toàn hơn, nhưng họ đánh giá tích cực vì nó giúp kết nối ngay vào mạng nội bộ mà không cần qua VPN, tiết kiệm thời gian cho mọi người.

  • Có người kể rằng khi xử lý quá trình chuyển đổi sang OAuth của Microsoft, họ đã gặp nhiều khó khăn vì quy trình quá thiếu minh bạch. Họ gửi token đi và máy chủ chỉ trả lời "không", không hề giải thích vì sao không hoạt động, khiến họ phải mất nhiều ngày để debug. Họ đặt câu hỏi liệu máy chủ mail của Google có khá hơn không.