Google, arriva il blocco dell'accesso per chi non usa OAuth: gli utenti interessati

Sulla falsa riga di quanto avvenuto in passato per gli utenti privati o comunque per i possessori di account Google gratuiti, l’azienda di Mountain View sta proseguendo sulla strada dell’abbandono dei meccanismi di autenticazione più vecchi e meno sicuri. A partire dal 30 settembre 2024, gli utenti Google Workspace non potranno più utilizzare il meccanismo di login basato nome utente e password per accedere ai dati dei propri account usando applicazioni di terze parti.

Google decide di “chiudere i rubinetti” a quelle che chiama “App meno sicure” ovvero a tutte quelle applicazioni autorizzate manualmente dagli utenti ad accedere ai dati dei loro account. Sono chiamate App meno sicure non perché, ad esempio, usino protocolli inaffidabili o rischiosi. Bensì perché l’accesso è accordato inserendo nome utente (email) e password dell’account Google direttamente in quelle stesse applicazioni.

Google spinge sul protocollo OAuth

OAuth 2.0 è un protocollo di largo impiego principalmente focalizzato sull’autorizzazione: consente a un utente di concedere l’accesso limitato alle proprie risorse a un’altra applicazione, senza esporre le credenziali vere e proprie. Fornisce un framework per l’autorizzazione basata su token, consentendo a un client di accedere alle risorse dell’utente conservate lato server.

Il protocollo, tra l’altro, funge anche da base per OpenID Connect. Quest’ultimo aggiunge sopra OAuth 2.0 uno strato di autenticazione e permette ai client di verificare l’identità digitale dell’utente. Interoperabile e supportato a livello internazionale, OpenID Connect costituisce le fondamenta del nuovo Digital Identity Wallet europeo.

Da fine settembre prossimo, quindi, Google spingerà primariamente sull’utilizzo di OAuth da parte degli utenti business. Per accedere al contenuto di un account Google Workspace, le applicazioni di terze parti non potranno insomma più utilizzare nome utente e password ma dovranno a loro volta supportare la gestione della procedura di autorizzazione mediante OAuth.

Password per le app: l’accesso continuerà a funzionare

Come peraltro confermava anche Google a settembre 2023, in alternativa all’accesso a Workspace tramite OAuth, è possibile impostare il meccanismo Password per le app. Previa attivazione della verifica in due passaggi sull’account Google, accedendo alla sezione Password per le app delle impostazioni, si può creare una password di accesso “ad hoc” per ciascuna applicazione di terze parti che si desidera continuare a usare e che, ad esempio, usa protocolli come IMAP, POP e SMTP per accedere ai server Google.

Il codice a 16 caratteri generato da Google, deve essere copiato e inserito lato client, nel campo password del programma che si desidera continuare ad utilizzare.

Al momento questa modalità di accesso continua ad essere supportata e non è dato sapere se Google intenda eliminarla in futuro. Scrive l’azienda guidata da Sundar Pichai: “le password per le app sono meno sicure dell’utilizzo di applicazioni e servizi aggiornati che usano standard di sicurezza moderni“.

Usare un proxy OAuth per aggiornare le applicazioni che usano nomi utente e password

Mentre tutti i principali client di posta sono già stati aggiornati, da tempo, per supportare OAuth, alcune applicazioni di terze parti potrebbero non essere compatibili con questo sistema di autorizzazione. Succede nel caso in cui queste stesse applicazioni supportassero solo l’accesso mediante nome utente e password.

Email OAuth 2.0 Proxy è uno strumento open source che aggiunge il supporto OAuth a tutte quelle applicazioni che non lo prevedono. E lo fa con un semplice trucco: lo script funge da proxy frapponendosi tra il client incompatibile OAuth e i server di Google.

La gestione dei token è in capo allo script che, ad accesso avvenuto, trasferisce al client tutte le informazioni richieste così come restituite da Google.

Credit immagine in apertura: iStock.com – tsingha25