Google Menghentikan Dukungan untuk Google Sync dan Aplikasi yang Kurang Aman

 (workspaceupdates.googleblog.com)
1 poin oleh GN⁺ 2024-01-20 | 1 komentar | Bagikan ke WhatsApp

Update Google Workspace

  • Mulai 30 September 2024: Aplikasi pihak ketiga yang hanya menggunakan kata sandi untuk mengakses Akun Google dan Google Sync tidak lagi didukung.
  • Perubahan: Google Workspace tidak lagi mendukung metode masuk untuk aplikasi atau perangkat pihak ketiga yang mengharuskan pengguna membagikan nama pengguna dan kata sandi Google mereka.
  • Risiko keamanan: Metode sebelumnya, Less Secure Apps (LSA), meningkatkan risiko keamanan karena mengharuskan kredensial Akun Google dibagikan ke aplikasi dan perangkat pihak ketiga.
  • Metode yang lebih aman: Gunakan opsi Masuk dengan Google, yang memakai metode autentikasi OAuth sebagai cara yang lebih aman dan lebih terlindungi untuk menyinkronkan email dengan aplikasi lain.

Jadwal penghentian akses LSA

  • Mulai 15 Juni 2024: Setelan LSA akan dihapus dari konsol admin dan tidak lagi dapat diubah. Pengguna yang sudah aktif masih dapat terhubung, tetapi pengguna yang tidak aktif tidak lagi dapat mengakses LSA.
  • Mulai 30 September 2024: Akses LSA akan dihentikan untuk semua akun Google Workspace. CalDAV, CardDAV, IMAP, POP, dan Google Sync tidak akan berfungsi saat masuk hanya dengan kata sandi dan harus menggunakan OAuth.

Penghentian layanan Google Sync

  • Mulai 15 Juni 2024: Pengguna baru tidak dapat terhubung ke Google Workspace melalui Google Sync.
  • 30 September 2024: Pengguna Google Sync yang sudah ada tidak lagi dapat terhubung ke Google Workspace.

Panduan untuk admin dan pengguna akhir

  • Admin: Harus beralih ke jenis akses yang lebih aman, yaitu OAuth, agar pengguna akhir tetap dapat memakai aplikasi jenis ini dengan akun Google Workspace mereka.
  • Dampak pada manajemen perangkat seluler (MDM): Organisasi yang menggunakan penyedia MDM untuk mengonfigurasi profil IMAP, CalDAV, CardDAV, POP, atau Exchange ActiveSync (Google Sync) akan terdampak oleh penghentian layanan secara bertahap.
  • Pemindai dan perangkat lain: Pemindai atau perangkat lain yang mengirim email menggunakan SMTP atau LSA harus dikonfigurasi agar menggunakan OAuth, memakai metode alternatif, atau menyiapkan kata sandi aplikasi untuk digunakan bersama perangkat tersebut.

Panduan untuk pengguna akhir

  • Aplikasi email: Jika menggunakan Outlook versi sebelum 2016, Anda harus berpindah ke Microsoft 365 atau beralih ke Outlook untuk Windows atau Mac yang mendukung akses OAuth.
  • Aplikasi kalender: Jika menggunakan aplikasi yang memakai CalDAV berbasis kata sandi, Anda harus beralih ke metode yang mendukung OAuth.
  • Aplikasi kontak: Jika Anda menyinkronkan kontak melalui CardDAV di iOS atau MacOS dan masuk hanya dengan kata sandi, Anda harus menghapus akun lalu menambahkannya kembali.

Panduan untuk pengembang

  • Pengembang: Untuk menjaga kompatibilitas dengan akun Google Workspace, aplikasi harus diperbarui agar menggunakan OAuth 2.0 sebagai metode koneksi.

Ketersediaan

  • Perubahan ini memengaruhi semua pelanggan Google Workspace.

Opini GN⁺

  • Pembaruan ini merupakan langkah penting untuk memperkuat keamanan pengguna Google Workspace. Menggunakan OAuth alih-alih aplikasi yang kurang aman (LSA) yang hanya memakai kata sandi adalah hal yang esensial dalam lanskap keamanan siber modern.
  • Perubahan ini memengaruhi admin maupun pengguna akhir, dan khususnya pengguna aplikasi email, kalender, serta kontak perlu beralih ke metode autentikasi yang baru.
  • Artikel ini memberikan informasi yang berguna bagi pengguna dan admin Google Workspace agar dapat bersiap menghadapi pembaruan keamanan mendatang dan mengambil tindakan yang diperlukan.

Bacaan terkait

1 komentar

 
GN⁺ 2024-01-20
Komentar Hacker News

  • Pengguna memiliki skrip yang berinteraksi dengan Gmail dan terkejut mendengar penghentian dukungan "Less Secure Apps", tetapi merasa lega karena kata sandi aplikasi tampaknya akan tetap berfungsi. Ia khawatir banyak otomatisasi akan berhenti jika nanti hanya OAuth yang didukung. Ia mengeluhkan kompleksitas OAuth dan menilai positif dokumentasi modul Perl yang menjelaskan dengan jelas cara kerja OAuth.

  • Jika OAuth tidak dapat digunakan, pengguna dapat memakai proksi sendiri agar klien IMAP atau POP/SMTP tetap bisa digunakan dengan penyedia email "modern" meskipun tidak mendukung OAuth 2.0. Klien tidak perlu mengetahui OAuth.

  • IMAP, SMTP, dan POP memberikan akses yang cukup besar ke akun Google, tetapi tidak dapat melakukan autentikasi dua faktor atau verifikasi anti-bot, sehingga rentan terhadap serangan credential stuffing. Google secara positif dinilai telah menonaktifkan akses semacam ini secara default untuk melindungi pengguna dari serangan tersebut, dan langkah kali ini dianggap ditujukan untuk pengguna yang tersisa.

  • Perubahan ini disebut menunjukkan niat untuk mendorong pengguna berpindah ke aplikasi mail milik Google sendiri. Tanpa aplikasi Gmail atau Google Sync yang akan segera dihentikan, pengguna tidak bisa menerima notifikasi email real-time. Pengguna menyampaikan ketidaknyamanan meski sudah membayar untuk Google Workspace. Di desktop, Mimestream masih berfungsi, tetapi ada kekhawatiran Google akan mencoba memblokirnya.

  • Di Android, hal yang paling menjengkelkan dari Oauth2 dan Google adalah bahwa pengguna tidak bisa masuk ke klien email atau kalender dengan akun Google tanpa mengaitkan seluruh ponsel ke akun Google tersebut. Ini juga memberi akun Google itu hak kebijakan pada perangkat. Pengguna tidak bisa sepenuhnya mengabaikan hal ini, dan menunjukkan bahwa Google dapat dengan mudah membatasi penggunaan oauth2 di dalam WebView pada Android.

  • Kata sandi aplikasi adalah sandi 16 karakter yang hanya bisa digunakan pada akun dengan autentikasi dua faktor aktif. Disebutkan bahwa "aplikasi kurang aman" dapat memberikan tingkat keamanan yang sama seperti aplikasi yang mendukung OAuth, tetapi hal itu dimungkinkan dengan memakai mekanisme sisi server yang sudah lama dapat dipromosikan Google. Disampaikan pandangan kritis bahwa Google menafsirkan isu keamanan dengan cara yang mendorong agendanya sendiri.

  • Dijelaskan bahwa App-Specific Passwords tampaknya akan tetap berfungsi, dan jika menggunakan aplikasi yang tidak mendukung OAuth, pengguna harus beralih ke aplikasi yang mendukung OAuth atau membuat kata sandi aplikasi untuk mengaksesnya.

  • Dijelaskan bahwa perubahan ini hanya berlaku untuk akun Workspace, sedangkan untuk akun Gmail biasa sudah diterapkan beberapa tahun lalu.

  • Sekitar 10 tahun lalu, seseorang membangun sistem yang memungkinkan autentikasi ke jaringan internal menggunakan akun Google masing-masing melalui integrasi dengan direktori akun Google. Menurut standar modern ini memang kurang aman, tetapi dinilai positif karena memungkinkan koneksi instan ke jaringan internal tanpa melalui VPN dan menghemat waktu semua orang.

  • Saat menangani transisi OAuth Microsoft, seseorang mengalami kesulitan karena prosesnya sangat tidak transparan. Token dikirim dan server hanya menjawab "tidak", tanpa penjelasan mengapa tidak berfungsi, sehingga berhari-hari dihabiskan untuk pemecahan masalah. Ia mempertanyakan apakah server mail Google lebih baik.