Home Concientización Google forzará a OAuth en G Suite para aumentar la seguridad

Google forzará a OAuth en G Suite para aumentar la seguridad

Google informó que bloqueará el acceso de las aplicaciones menos seguras (LSA) a los datos de la cuenta G Suite a partir de febrero de 2021, tras una fase inicial de limitación de su acceso, durante junio de 2020.

Este anuncio se produce tras la eliminación de la opción “Imponer el acceso a aplicaciones menos seguras para todos los usuarios” de la consola de administración de Google, el 30 de octubre de 2019.

Los LSA no son aplicaciones de Google que acceden a las cuentas de Google utilizando únicamente un par de nombres de usuario y contraseñas, lo que expone a los usuarios que los utilizan a ataques de secuestro de cuentas.

El proceso mediante el cual las aplicaciones envían pares de nombre de usuario/contraseña con cada solicitud de autenticación realizada al conectarse a un servidor, un punto final o un servicio en línea también se conoce como autenticación básica o autenticación proxy.

Aunque esto simplifica el proceso de autenticación, también facilita enormemente a los posibles atacantes el robo de las credenciales de los usuarios cuando las conexiones no están protegidas mediante Transport Layer Security (TLS) o la obtención de las mismas a través de volquetes de credenciales tras una violación de datos.

Al cambiar a software con soporte de OAuth, los usuarios se beneficiarán inmediatamente de una mayor seguridad al permitir que Google bloquee a los atacantes para que no puedan acceder a sus cuentas incluso si de alguna manera roban sus credenciales.

“Los usuarios que intenten conectarse a un LSA por primera vez ya no podrán hacerlo” a partir del 15 de junio de 2020, dice Google en un post publicado hoy.

“Esto incluye aplicaciones de terceros que permiten el acceso con contraseña a los calendarios, contactos y correo electrónico de Google a través de protocolos como CalDAV, CardDAV e IMAP. Los usuarios que se hayan conectado a los CEJs antes de esta fecha podrán continuar usándolos hasta que se apague el uso de todos los CEJs”.

Después del 15 de febrero de 2021, el acceso a los LSAs se cerrará completamente para todas las cuentas de G Suite, según Google.

Google recomienda a los desarrolladores que actualicen sus aplicaciones para utilizar OAuth 2.0 como método de conexión para mantener la compatibilidad de la cuenta de G Suite y proporciona ayuda sobre cómo utilizar OAuth 2.0 para acceder a las API de Google.

La compañía también proporciona información y consejos sobre cómo empezar a moverse para asegurar el acceso a OAuth y continuar accediendo a su correo electrónico, calendario o contactos.

Microsoft también anunció en septiembre que la autenticación básica se desactivará en Exchange Online para Exchange ActiveSync (EAS), POP, IMAP y Remote PowerShell a partir del 13 de octubre de 2020.

Esto siguió a un anuncio previo hecho el año pasado sobre los planes para dejar de soportar y eliminar completamente el soporte de autenticación básica en la API de Exchange Web Services (EWS) para Office 365.

“Se anima a los clientes a migrar a aplicaciones que soporten la autenticación moderna antes de la eliminación de la autenticación básica en octubre de 2020”, dijo Microsoft en ese momento.

“Después de octubre de 2020, las aplicaciones no podrán utilizar la autenticación básica al conectarse a Exchange Online. Este cambio sólo afecta al M365 comercial en este momento, no a los usuarios de nuestro servicio al consumidor Outlook.com”.

Para desactivar la autenticación básica de Exchange Online antes de su tiempo de desactivación, debe crear y asignar políticas de autenticación a usuarios individuales siguiendo el procedimiento detallado en el sitio web de soporte de Exchange Online de Microsoft.

Con información de: Bleeping Computer.