Google plant, den Zugriff auf das Gmail-Konto für einige Apps zu sperren, die nicht das OAuth-Protokoll verwenden: Das sind sie
Neues kommt 2020 für geschäftliche Nutzer von Googles G Suite und insbesondere für diejenigen, die über einen Drittanbieter-Client auf ihren Gmail-Posteingang zugreifen. Das ist ein großer Teil der Nutzer, da E-Mail-Clients in der Geschäftswelt immer noch sehr beliebt sind.
Google hat jedoch angekündigt, dass es ab dem 15. Juni 2020 den Zugriff auf seine Suite durch "weniger sichere Apps" (LSAs) einschränken wird. Bis zum 15. Februar 2021 werden diese Apps vollständig blockiert sein. Es ist zu beachten, dass diese Anwendungen einige ältere Versionen von Microsoft Outlook enthalten, die immer noch von Millionen von Nutzern weltweit verwendet werden. Googles Entscheidung ist eine Sicherheitsmaßnahme: Die am wenigsten sicheren Apps sind diejenigen, die nicht das OAuth-Protokoll für die Nutzerauthentifizierung verwenden, sondern nur den Benutzernamen und das Passwort, und die leichter für Phishing-Angriffe anfällig sind.
Was ist das OAuth-Protokoll
Das OAuth-Protokoll ist ein offener Standard und nicht Eigentum von Google. Es wird auch von Amazon, Twitter, Facebook und Microsoft selbst in seinen neuesten Anwendungen verwendet. OAuth integriert Maßnahmen zum Schutz von Konten und bietet gleichzeitig eine hohe Flexibilität sowie eine einfache Nutzung und Implementierung. Über OAuth kann beispielsweise eine Drittanbieter-Anwendung auf die Daten des Nutzers zugreifen, ohne jedoch Zugang zu den Anmeldedaten des Nutzers zu haben. Mit anderen Worten, ein E-Mail-Client kann uns Nachrichten lesen und schreiben lassen, ohne dass wir unseren Benutzernamen und unser Passwort kennen, die in den Händen von OAuth bleiben.
Das Problem ist Phishing
Wenn Google die massive Implementierung von OAuth vorantreibt, dann um G Suite-Nutzer vor Phishing-Angriffen zu schützen, die durch eine einfache Benutzer- und Passwort-Authentifizierung erleichtert werden. Die neuen Einschränkungen gelten für den Zugriff auf Gmail sowie auf Kalender, Docs und andere Google-Dienste. Bis zum 15. Februar 2021 können Nutzer, die Apps mit G Suite verbunden haben, die kein OAuth verwenden, diese weiterhin nutzen, sofern sie nicht bereits in der Zwischenzeit von Google deaktiviert wurden.
Ist OAuth sicher?
Es muss jedoch auch gesagt werden, dass sich das OAuth-Protokoll in der Vergangenheit nicht als perfekt erwiesen hat. Im Jahr 2017 gelang es zum Beispiel nicht, einen Malware-Angriff auf Gmail-Nutzer zu blockieren: Eine infizierte App nutzte OAuth, um Zugang zu einigen Gmail-Konten zu erhalten. Wenn die Benutzer den Zugriff gewährten, begann die App, als normale E-Mail getarnte Phishing-Nachrichten zu versenden, die einen gefälschten Google Docs-Anhang mit einem bösartigen Link enthielten. Nach dieser Episode beschloss Google, OAuth weiterhin als Authentifizierungssystem zu verwenden, verschärfte jedoch die Sicherheitsmaßnahmen im Zusammenhang mit seiner Verwaltung.