อัปเดต Google Workspace
- ตั้งแต่วันที่ 30 กันยายน 2024: แอปของบุคคลที่สามที่ใช้เพียงรหัสผ่านเพื่อเข้าถึงบัญชี Google และ Google Sync จะไม่ได้รับการรองรับอีกต่อไป
- การเปลี่ยนแปลง: Google Workspace จะไม่รองรับวิธีการลงชื่อเข้าใช้ของแอปหรืออุปกรณ์ของบุคคลที่สามที่ต้องให้ผู้ใช้แชร์ชื่อผู้ใช้และรหัสผ่าน Google อีกต่อไป
- ความเสี่ยงด้านความปลอดภัย: วิธีเดิมอย่าง Less Secure Apps (LSA) เพิ่มความเสี่ยงด้านความปลอดภัย เนื่องจากต้องแชร์ข้อมูลรับรองบัญชี Google กับแอปและอุปกรณ์ของบุคคลที่สาม
- วิธีที่ปลอดภัยกว่า: ควรใช้ตัวเลือกลงชื่อเข้าใช้ด้วย Google ซึ่งใช้การยืนยันตัวตนแบบ OAuth และเป็นวิธีที่ปลอดภัยและมั่นคงกว่าสำหรับการซิงก์อีเมลกับแอปอื่น
กำหนดการยุติการเข้าถึง LSA
- ตั้งแต่วันที่ 15 มิถุนายน 2024: การตั้งค่า LSA จะถูกนำออกจากคอนโซลผู้ดูแลระบบและจะไม่สามารถเปลี่ยนแปลงได้อีก ผู้ใช้ที่เปิดใช้งานอยู่จะยังเชื่อมต่อได้ แต่ผู้ใช้ที่ปิดใช้งานแล้วจะไม่สามารถเข้าถึง LSA ได้อีกต่อไป
- ตั้งแต่วันที่ 30 กันยายน 2024: การเข้าถึง LSA จะถูกยุติสำหรับทุกบัญชี Google Workspace โดย CalDAV, CardDAV, IMAP, POP และ Google Sync จะไม่ทำงานเมื่อเข้าสู่ระบบด้วยรหัสผ่านอย่างเดียว และต้องใช้ OAuth
การยุติบริการ Google Sync
- ตั้งแต่วันที่ 15 มิถุนายน 2024: ผู้ใช้ใหม่จะไม่สามารถเชื่อมต่อกับ Google Workspace ผ่าน Google Sync ได้
- 30 กันยายน 2024: ผู้ใช้ Google Sync เดิมจะไม่สามารถเชื่อมต่อกับ Google Workspace ได้
คำแนะนำสำหรับผู้ดูแลระบบและผู้ใช้ปลายทาง
- ผู้ดูแลระบบ: ต้องเปลี่ยนไปใช้รูปแบบการเข้าถึงที่ปลอดภัยกว่าคือ OAuth เพื่อให้ผู้ใช้ปลายทางยังคงใช้งานแอปประเภทนี้ร่วมกับบัญชี Google Workspace ได้
- ผลกระทบต่อการจัดการอุปกรณ์เคลื่อนที่ (MDM): องค์กรที่ใช้ผู้ให้บริการ MDM เพื่อตั้งค่าโปรไฟล์ IMAP, CalDAV, CardDAV, POP หรือ Exchange ActiveSync (Google Sync) จะได้รับผลกระทบจากการยุติบริการแบบค่อยเป็นค่อยไป
- สแกนเนอร์และอุปกรณ์อื่น ๆ: สแกนเนอร์หรืออุปกรณ์อื่นที่ส่งอีเมลผ่าน SMTP หรือ LSA ต้องตั้งค่าให้ใช้ OAuth ใช้วิธีทางเลือก หรือกำหนดรหัสผ่านแอปสำหรับใช้งานกับอุปกรณ์นั้น
คำแนะนำสำหรับผู้ใช้ปลายทาง
- แอปพลิเคชันอีเมล: หากใช้งาน Outlook เวอร์ชันก่อน 2016 ควรย้ายไปใช้ Microsoft 365 หรือเปลี่ยนไปใช้ Outlook สำหรับ Windows หรือ Mac ที่รองรับการเข้าถึงแบบ OAuth
- แอปพลิเคชันปฏิทิน: หากใช้งานแอปที่ใช้ CalDAV แบบอิงรหัสผ่าน ควรเปลี่ยนไปใช้วิธีที่รองรับ OAuth
- แอปพลิเคชันรายชื่อติดต่อ: หากซิงก์รายชื่อติดต่อผ่าน CardDAV บน iOS หรือ MacOS และลงชื่อเข้าใช้ด้วยรหัสผ่านอย่างเดียว ต้องลบบัญชีแล้วเพิ่มใหม่อีกครั้ง
คำแนะนำสำหรับนักพัฒนา
- นักพัฒนา: ต้องอัปเดตแอปให้ใช้ OAuth 2.0 เป็นวิธีการเชื่อมต่อ เพื่อคงความเข้ากันได้กับบัญชี Google Workspace
การมีผลใช้งาน
- การเปลี่ยนแปลงนี้มีผลต่อผู้ใช้ Google Workspace ทุกราย
ความเห็นของ GN⁺
- การอัปเดตนี้เป็นมาตรการสำคัญในการเสริมความปลอดภัยให้กับผู้ใช้ Google Workspace การเปลี่ยนจากแอปที่ปลอดภัยน้อยกว่า (LSA) ซึ่งใช้เพียงรหัสผ่าน ไปเป็นการใช้ OAuth เพื่อเพิ่มความปลอดภัยของบัญชี ถือเป็นสิ่งจำเป็นในสภาพแวดล้อมด้านไซเบอร์ซีเคียวริตี้ยุคปัจจุบัน
- การเปลี่ยนแปลงนี้ส่งผลทั้งต่อผู้ดูแลระบบและผู้ใช้ปลายทาง โดยเฉพาะผู้ที่ใช้งานแอปอีเมล ปฏิทิน และรายชื่อติดต่อ ซึ่งจำเป็นต้องเปลี่ยนไปใช้วิธีการยืนยันตัวตนแบบใหม่
- บทความนี้ให้ข้อมูลที่เป็นประโยชน์แก่ผู้ใช้และผู้ดูแลระบบ Google Workspace เพื่อเตรียมพร้อมสำหรับการอัปเดตด้านความปลอดภัยในอนาคตและดำเนินการที่จำเป็นได้ทันเวลา
1 ความคิดเห็น
ความคิดเห็นจาก Hacker News
ผู้ใช้มีสคริปต์ที่โต้ตอบกับ Gmail จึงรู้สึกตกใจกับข่าวการยุติการรองรับ "Less Secure Apps" แต่ก็โล่งใจที่ดูเหมือนว่ารหัสผ่านสำหรับแอปจะยังใช้งานได้ต่อไป กังวลว่าหากถึงจุดที่รองรับเฉพาะ OAuth ระบบอัตโนมัติจำนวนมากจะหยุดทำงาน แสดงความไม่พอใจกับความซับซ้อนของ OAuth และชื่นชมเอกสารของโมดูล Perl ที่อธิบายการทำงานของ OAuth ได้อย่างชัดเจน
หากไม่สามารถใช้ OAuth ได้ ผู้ใช้สามารถใช้พร็อกซีของตนเองเพื่อให้ไคลเอนต์ IMAP หรือ POP/SMTP ใช้งานกับผู้ให้บริการอีเมลแบบ "สมัยใหม่" ได้ แม้ไคลเอนต์จะไม่รองรับ OAuth 2.0 ก็ตาม โดยตัวไคลเอนต์ไม่จำเป็นต้องรู้จัก OAuth เลย
IMAP, SMTP, POP อนุญาตให้เข้าถึงบัญชี Google ได้ค่อนข้างมาก แต่ไม่สามารถทำการยืนยันตัวตนสองขั้นตอนหรือการตรวจสอบป้องกันบอตได้ จึงเสี่ยงต่อการโจมตีแบบ credential stuffing Google ได้ปิดการเข้าถึงลักษณะนี้ไว้เป็นค่าเริ่มต้นเพื่อปกป้องผู้ใช้จากการโจมตีดังกล่าว และมองว่ามาตรการครั้งนี้เป็นเรื่องที่ดีสำหรับผู้ใช้ที่เหลือ
มีการชี้ว่าการเปลี่ยนแปลงครั้งนี้มีเจตนาจะผลักผู้ใช้ไปยังแอปเมลของ Google เอง หากไม่มีแอป Gmail หรือ Google Sync ที่กำลังจะถูกยกเลิก ก็จะไม่สามารถรับการแจ้งเตือนอีเมลแบบเรียลไทม์ได้ ผู้ใช้แสดงความไม่พอใจแม้จะจ่ายเงินให้ Google Workspace อยู่แล้ว บนเดสก์ท็อป Mimestream ยังใช้งานได้ แต่ก็กังวลว่า Google จะพยายามปิดกั้นมัน
บน Android สิ่งที่น่ารำคาญที่สุดเกี่ยวกับ Oauth2 และ Google คือไม่สามารถเข้าสู่ระบบไคลเอนต์อีเมลหรือปฏิทินด้วยบัญชี Google ได้ หากไม่ผูกทั้งโทรศัพท์เข้ากับบัญชี Google นั้น และยังเป็นการมอบสิทธิ์เชิงนโยบายต่ออุปกรณ์ให้บัญชี Google นี้ด้วย ผู้ใช้ชี้ว่าไม่สามารถเพิกเฉยเรื่องนี้ได้ทั้งหมด และ Google สามารถจำกัดการใช้ oauth2 ภายใน WebView บน Android ได้อย่างง่ายดาย
รหัสผ่านสำหรับแอปเป็นรหัส 16 หลัก และใช้ได้เฉพาะกับบัญชีที่เปิดใช้การยืนยันตัวตนสองขั้นตอน มีการชี้ว่า "แอปที่ปลอดภัยน้อยกว่า" ให้ระดับความปลอดภัยเทียบเท่ากับแอปที่รองรับ OAuth ได้ เพราะอาศัยกลไกฝั่งเซิร์ฟเวอร์ที่ Google โปรโมตมาได้นานแล้ว พร้อมแสดงความเห็นเชิงวิจารณ์ว่า Google ตีความประเด็นด้านความปลอดภัยในแบบที่ช่วยผลักดันวาระของบริษัทเอง
ดูเหมือนว่ารหัสผ่านเฉพาะแอป (App-Specific Passwords) จะยังใช้งานได้ต่อไป และหากใช้แอปที่ไม่รองรับ OAuth ก็ต้องเปลี่ยนไปใช้แอปที่รองรับ OAuth หรือสร้างรหัสผ่านสำหรับแอปเพื่อเข้าถึง
อธิบายว่าการเปลี่ยนแปลงครั้งนี้ใช้กับบัญชี Workspace เท่านั้น ส่วนบัญชี Gmail ทั่วไปนั้นได้ถูกบังคับใช้ไปแล้วเมื่อหลายปีก่อน
เมื่อราว 10 ปีก่อน มีการสร้างระบบที่สามารถยืนยันตัวตนเข้าสู่เครือข่ายภายในด้วยบัญชี Google รายบุคคล ผ่านการผสานกับไดเรกทอรีบัญชี Google แม้ตามมาตรฐานปัจจุบันจะปลอดภัยน้อยกว่า แต่ก็ช่วยให้เชื่อมต่อเครือข่ายภายในได้ทันทีโดยไม่ต้องผ่าน VPN จึงมองว่าเป็นสิ่งที่ช่วยประหยัดเวลาให้ทุกคน
เคยประสบความยากลำบากในการจัดการการเปลี่ยนผ่านไปสู่ OAuth ของ Microsoft โดยปัญหาคือกระบวนการนี้ไม่โปร่งใสอย่างมาก ส่งโทเค็นไปแล้วเซิร์ฟเวอร์ตอบกลับแค่ว่า "ไม่" โดยไม่อธิบายว่าทำไมจึงใช้งานไม่ได้ ทำให้ต้องเสียเวลาหลายวันในการแก้ปัญหา และตั้งคำถามว่าเซิร์ฟเวอร์เมลของ Google จะดีกว่านี้หรือไม่