Tóm tắt:

Bắt đầu từ tháng 06/2020, Google sẽ giới hạn khả năng đối với các ứng dụng kém an toàn (LSA) truy cập dữ liệu tài khoản G Suite. LSA là các ứng dụng không thuộc Google có thể truy cập tài khoản Google bằng tên người dùng và mật khẩu. Các ứng dụng này sẽ khiến cho tài khoản của người dùng dễ bị tấn công. Thay vì LSA, người dùng có thể sử dụng các ứng dụng hỗ trợ OAuth, một phương thức truy cập hiện đại và an toàn.

Điều này rất có thể ảnh hưởng đến người dùng các ứng dụng email, lịch và danh bạ kế thừa. Google cũng đã gửi email đến quản trị viên chính với thông tin chi tiết về thay đổi này, email bao gồm danh sách người dùng có khả năng bị ảnh hưởng.

Quyền truy cập vào LSA sẽ bị tắt theo hai giai đoạn:

• Sau ngày 15/06/2020 - Người dùng lần đầu tiên kết nối với LSA sẽ không thể nào thực hiện được. Điều này bao gồm các ứng dụng của bên thứ ba cho phép truy cập chỉ bằng mật khẩu vào lịch, danh bạ và email của Google thông qua các giao thức như CalDAV, CardDAV, IMAP và Exchange ActiveSync (Google Sync). Người dùng đã kết nối với LSA trước ngày này sẽ có thể tiếp tục sử dụng cho đến khi việc sử dụng tất cả các LSA bị tắt.
• Sau ngày 15/02/2021 - Quyền truy cập vào LSA sẽ bị tắt đối với tất cả các tài khoản G Suite.

Đây là sự tiếp nối của quy trình được công bố trước đây để giới hạn quyền truy cập vào các ứng dụng kém an toàn hơn để bảo vệ tài khoản G Suite.

Ảnh hưởng:

Người dùng cuối.

Tại sao phải dùng:

Nhiều người dùng sử dụng các ứng dụng không thuộc Google và cấp cho các ứng dụng đó quyền truy cập dữ liệu G Suite, ví dụ: người dùng có thể cấp cho ứng dụng thư iOS để xem email công việc. Điều này cung cấp cho người dùng nhiều tùy chọn hơn và giúp người dùng hoàn thành công việc theo cách phù hợp với nhu cầu.

Khi quyền truy cập tài khoản được cung cấp thông qua LSA, điều này sẽ khiến tài khoản đó có nguy cơ bị tấn công. Đó là vì LSA cung cấp quyền truy cập ứng dụng không thuộc Google vào tài khoản thông qua tên người dùng và mật khẩu mà không có bất kỳ yếu tố xác thực nào khác. Nếu có quyền truy cập vào tên người dùng và mật khẩu (ví dụ: nếu sử dụng lại mật khẩu trên một trang web khác do rò rỉ dữ liệu), người lạ có thể truy cập dữ liệu tài khoản chỉ bằng thông tin tên người dùng và mật khẩu đó thông qua LSA.

Tuy nhiên, khi quyền truy cập tài khoản được cung cấp thông qua OAuth, Google sẽ có thêm thông tin chi tiết về thông tin đăng nhập và có thể xác thực nó giống như cách Google làm với bất kỳ thông tin đăng nhập nào khác vào tài khoản. Điều này có nghĩa là Google có thể xác định và ngăn chặn tốt hơn các nỗ lực đăng nhập đáng ngờ, ngăn chặn kẻ xâm nhập truy cập dữ liệu tài khoản ngay cả khi chúng có tên người dùng và mật khẩu. OAuth cũng giúp thi hành các chính sách đăng nhập do quản trị viên G Suite xác định, chẳng hạn như việc sử dụng các khóa bảo mật, cũng như các kiểm soát bảo mật khác như danh sách trắng các ứng dụng và cung cấp quyền truy cập tài khoản dựa trên phạm vi.

Trong khi nỗ lực liên tục cải thiện tính bảo mật của các tài khoản G Suite dành cho tổ chức/doanh nghiệp, Google đã đưa ra quyết định xóa quyền truy cập LSA trước ngày 15/2/2021. Với việc đưa ra nhiều ứng dụng và quy trình thay thế có sẵn sử dụng OAuth (được nêu dưới đây), Google hy vọng rằng điều này sẽ không gây ra sự gián đoạn đáng kể trong khi tăng cường bảo mật tài khoản.

Làm thế nào để bắt đầu:

• Quản trị viên:

• Xem phần chi tiết bổ sung của người dùng sau đây để nắm thêm thông tin và các hành động được đề xuất.
• Xem email được gửi đến quản trị viên chính của tổ chức một dòng tiêu đề “Chuyển sang các ứng dụng sử dụng quyền truy cập OAuth an toàn, vì quyền truy cập dựa trên mật khẩu sẽ không còn được hỗ trợ” đối với danh sách các người dùng bị ảnh hưởng bởi sự thay đổi.
• Người dùng cuối: Xem phần thông tin người dùng và lời khuyên sau đây để biết thêm chi tiết và các hành động được đề xuất hoặc sử dụng Trung tâm trợ giúp để tìm hiểu thêm về các ứng dụng kém an toàn và tài khoản Google.

Thông tin bổ sung:

Thông tin quản trị viên và nhà phát triển

Cấu hình quản lý thiết bị di động (MDM) - Nếu tổ chức sử dụng nhà cung cấp quản lý thiết bị di động (MDM) để định cấu hình các cấu hình CalDAV, CardDAV và Exchange ActiveSync (Google Sync), các dịch vụ này sẽ được loại bỏ theo dòng thời gian sau:

• Ngày 15/6/2020: IMAP, CalDAV, CardDAV và Exchange ActiveSync (Google Sync) sẽ không còn hỗ trợ đối với người dùng mới.
• Ngày 15/2/2021: IMAP, CalDAV, CardDAV và Exchange ActiveSync (Google Sync) sẽ không còn hỗ trợ đối với người dùng hiện tại. Quản trị viên sẽ cần buộc Tài khoản Google sử dụng nhà cung cấp MDM, sẽ phải thêm lại tài khoản Google vào thiết bị iOS bằng OAuth.

Máy quét và các thiết bị khác - Không yêu cầu thay đổi đối với máy quét hoặc các thiết bị khác sử dụng giao thức chuyển thư đơn giản (SMTP) hoặc LSA để gửi email. Nếu người dùng thay thế thiết bị, hãy tìm một thiết bị gửi email bằng OAuth.

Hướng dẫn dành cho nhà phát triển - Để duy trì khả năng tương thích với tài khoản G Suite, hãy cập nhật ứng dụng để sử dụng OAuth 2.0 làm phương thức kết nối. Để bắt đầu, hãy làm theo hướng dẫn dành cho nhà phát triển về việc sử dụng OAuth 2.0 để truy cập Google API. Nhà phát triển cũng có thể tham khảo hướng dẫn về OAuth 2.0 cho các ứng dụng dành cho thiết bị di động và máy tính để bàn.

Thông tin người dùng cuối và lời khuyên

Nếu đang sử dụng một ứng dụng truy cập tài khoản Google chỉ bằng tên người dùng và mật khẩu, hãy thực hiện một trong các hành động sau để chuyển sang phương thức an toàn hơn và tiếp tục truy cập email, lịch hoặc danh bạ. Nếu không thực hiện một trong các hành động sau, khi việc truy cập LSA không được hỗ trợ sau ngày 15/2/2021, người dùng sẽ bắt đầu nhận được thông báo lỗi rằng kết hợp tên người dùng-mật khẩu là không chính xác.

Email

• Nếu đang sử dụng Outlook 2016 độc lập hoặc cũ hơn, người dùng có thể sử dụng G Suite Sync cho Microsoft Outlook. Hoặc, di chuyển đến Office 365 (phiên bản Outlook dựa trên web) hoặc Outlook 2019, cả hai đều hỗ trợ truy cập OAuth.
• Nếu người dùng đang sử dụng Thunderbird hoặc ứng dụng email khách khác, hãy thêm lại Tài khoản Google và định cấu hình để sử dụng IMAP với OAuth.
• Nếu đang sử dụng ứng dụng thư trên iOS hoặc MacOS hoặc Outlook cho Mac và chỉ sử dụng mật khẩu để đăng nhập, người dùng sẽ cần phải xóa và thêm lại tài khoản. Khi thêm lại, hãy đảm bảo chọn tài khoản Google để tự động sử dụng OAuth.

Lịch:

• Nếu người dùng sử dụng CalDAV để cấp cho ứng dụng hoặc thiết bị quyền truy cập vào lịch, hãy chuyển sang phương thức hỗ trợ OAuth. Google khuyên dùng ứng dụng Lịch Google [Web / iOS/ Android] là ứng dụng an toàn nhất để sử dụng với tài khoản G Suite.
• Nếu tài khoản G Suite được liên kết với ứng dụng lịch trong iOS hoặc MacOS và chỉ sử dụng mật khẩu để đăng nhập, người dùng sẽ cần phải xóa và thêm lại tài khoản vào thiết bị. Khi thêm lại tài khoản, hãy chọn “Đăng nhập bằng tài khoản Google” để tự động sử dụng OAuth. Vui lòng xem thêm tại đây.

Danh bạ:

• Nếu tài khoản G Suite đang đồng bộ hóa danh bạ với iOS hoặc MacOS thông qua CardDAV và chỉ sử dụng mật khẩu để đăng nhập, người dùng sẽ cần phải xóa tài khoản. Khi thêm trở lại, hãy chọn “Đăng nhập bằng tài khoản Google” để tự động sử dụng OAuth. Vui lòng xem thêm tại đây.
• Nếu tài khoản G Suite đang đồng bộ hóa danh bạ với bất kỳ nền tảng hoặc ứng dụng nào khác thông qua CardDAV và chỉ sử dụng mật khẩu để đăng nhập, hãy chuyển sang phương thức hỗ trợ OAuth.

Các ứng dụng kém an toàn:

• Nếu người dùng sử dụng các ứng dụng khác trên iOS hoặc MacOS truy cập thông tin tài khoản G Suite chỉ bằng mật khẩu, hầu hết các vấn đề truy cập có thể được giải quyết bằng cách xóa và sau đó thêm lại tài khoản. Khi thêm lại, hãy đảm bảo chọn tài khoản Google để tự động sử dụng OAuth.
• Đối với bất kỳ LSA nào khác, hãy liên hệ với quản trị viên hoặc hỏi nhà phát triển ứng dụng đang sử dụng để bắt đầu hỗ trợ OAuth.
• Nếu nhà phát triển không cập nhật ứng dụng, người dùng sẽ cần chuyển sang một ứng dụng khách cung cấp OAuth.

Liên kết hữu ích:

• Giới hạn quyền truy cập vào các ứng dụng kém an toàn hơn để bảo vệ tài khoản G Suite
• Kiểm soát quyền truy cập vào các ứng dụng kém an toàn
• Sử dụng các lựa chọn thay thế cho các ứng dụng kém an toàn hơn
• Ứng dụng kém an toàn và Tài khoản Google

Chi tiết ra mắt

Chi tiết triển khai - cho tất cả tên miền

• Sau ngày 15/6/2020
• Người dùng cố gắng kết nối với LSA lần đầu tiên sẽ không thể kết nối được. Điều này bao gồm các ứng dụng của bên thứ ba cho phép truy cập chỉ bằng mật khẩu vào lịch, danh bạ và email của Google thông qua các giao thức như CalDAV, CardDAV và IMAP. Người dùng đã kết nối với LSA trước ngày này sẽ có thể tiếp tục sử dụng cho đến khi việc sử dụng tất cả các LSA bị tắt.
• Cấu hình MDM của CalDAV hoặc CardDAV sẽ không hỗ trợ đối với người dùng mới.
• Sau ngày 15/2/2021
• Quyền truy cập vào LSA sẽ bị tắt đối với tất cả các tài khoản G Suite.
• Cấu hình MDM của CalDAV và CardDAV sẽ không hỗ trợ đối với người dùng hiện tại. Tất cả người dùng hiện tại sẽ được yêu cầu thêm lại tài khoản Google của họ nếu muốn đồng bộ hóa danh bạ, lịch hoặc email.

Phiên bản phát hành:

• Áp dụng đối với tất cả phiên bản G Suite.

Bật / tắt theo mặc định:

• Tính năng này sẽ được BẬT theo mặc định và có thể tắt.

Nguồn: LVtech