IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 70
ストーリー by nagazou
終了 部門より
終了 部門より
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。
なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類を使用する新しいログイン操作しか受け付けなくなるとしている。
なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類を使用する新しいログイン操作しか受け付けなくなるとしている。
アプリ パスワードは使えるのでスマホで使用しているアカウントならばほぼ影響無し (スコア:5, 参考になる)
スマホで使用しているアカウントに関しては Googleは2022年の初め頃までに強制的に2段階認証の有効化 [impress.co.jp] を行ってます。
2段階認証有効の場合、[安全性の低いアプリの許可] は無効化されて、OAuth非対応のサードパーティアプリでは代わりにランダムに生成されるアプリパスワードを使う必要がありました。
※ただし2段階認証が強制的に有効化されたあと、ユーザーが無効にすることができるので、手動で無効化した場合はこの限りではありません。
そして、その アプリパスワード [google.com]は、2022年5月30日以降も使えますので、スマホで使っているアカウントであれば、影響ありません。
ちなみに、アプリパスワードは、Webブラウザーからログインできないという一点を除き、パスワード+2段階認証と同様にほぼフルコントロール権があります。
例えば、メール用に発行したアプリパスワードであっても、カレンダー等へのアクセスも可能です。
アプリパスワード [google.com] の「アプリ パスワードを忘れた場合」には、「すべてのアプリ パスワードは 1 回のみ使用できます。新しいアプリ パスワードはいつでも生成できます。」とありますが、
この「1 回のみ使用できます」は大嘘で、例えば秀丸メールで使用しているアプリパスワードを、他のメーラーで使用しても、問題なくログインできることを確認済みです。
Re: (スコア:0)
誤訳ってことかな… one time ≒ 使い捨て
Re: (スコア:0)
使い捨てってのも変かな。
1アカウントにつき1つだけ、再生成したら以前に生成したアプリパスワードは使えないってことを言いたいのだと思う。
アプリパスワード自体は再生成しない限り何度でもどこからでも使用出来ます。
fetchmailでアクセスするのにアプリパスワードしか手がないんだよね。
ひょっとして今だと他の手があるのだろうか。
Re:アプリ パスワードは使えるのでスマホで使用しているアカウントならばほぼ影響無し (スコア:2, 参考になる)
アプリパスワードのコンセプトは極めて単純だよ。発行数が無制限。アプリにつきいちパスワード。もっと言うとアンドロイドのfetchmail?に一パスワードパソコンのfetchmailに一パスワード、会社のパソコンのfetchmailに一パスワード、自宅のパソコンのfetchmailに一パスワードみたいなノリでどんどん増やす。
パスワードの値は忘れてどれに設定したかだけ覚えておく。(これはグーグルがやってくれる)流出したらそのアプリのせいだからそのアプリに設定したアプリパスワードを無効化してそのアプリを捨てる。
欠点としては不正ログインに使われたパスワードがどれか調べるのが難しいってことくらいか。
これを機にgoogleとお別れかな (スコア:0)
二段階認証設定などせずに使ってきているけどおそらくもう限界。これを機に移行する予定。
一番ハードルに感じてたのはSMTP認証で使ってるgmailだけどメール転送設定だけしておけばいいかな。
Re: (スコア:0)
> メール転送設定だけしておけばいいかな
お別れになってないじゃん
Re: (スコア:0)
住居の引っ越しと同じでしょ。住所変更などし忘れがあったら困るから郵便転送お願いしておくのと同じで、メアドも転送できるならしておくのは妥当。
#移行=垢削除 と迷わず削除実行する人いるけど信じられない。トラブらないのかな・・・
Re: (スコア:0)
メールサーバーの引っ越しは、転送なんていらないじゃん。
引っ越す気がないとしか。
Re: (スコア:0)
え、いや
セキュリティ的に対策しないでお別れかなってどういう意味・・・?
二段階認証とかやりたくない理由はなに?
Re: (スコア:0)
ふだん使いのソフトが二段階認証に対応してないからでは。
たとえば私はDebian w/KDEなマシンで、EmacsとFirefoxだけでほぼ全てが済むような生活をしていて、Gmailを含むメールはEmacs上のWanderlustで読み書きしてるけど、これができなくなる。
なので、私はこれを機にProtonMailの有料アカウントを契約して全面移行した。
ProtonMailならProtonMail Bridge [protonmail.com]を介せばSTARTTLSを解するMUAが使えるのでWanderlustがそのまま使える。もちろんスマートフォン用の専用アプリとも同期する。
ProtonMailそのものに若干の問題はあることは承知だが、それでもGmailからの移行先としては良いと思っている。
Re: (スコア:0)
え、ごめん
もっとわかんないんだけどWanderlustにOAuth2.0対応のパッチ作って送ればいいだけじゃないの・・・?
Re: (スコア:0)
そんなメンドーなことしたくないのでは?
Re: (スコア:0)
歳を取るととにかく変更を嫌がるんですよ。つーかついていけない。
WindowsのUIでも、前のほうがよかったって盛んに言ってる人いるでしょ?
若い人でそんなこと言ってるの見たことない。
# まあ俺もWindowsは昔のほうがよかったりするけど...
Re: (スコア:0)
お気持ちを表明したいか、お別れ会をやって欲しいんじゃない?
移行先がどこかは気になるけど。
Re: (スコア:0)
二段階認証って逆にセキュリティ弱くなるサービスあるし、面倒だから嫌う人は多いね。
#二段階アプリのコードだけでログインと残高送金できてしまう仮想通貨取引所・・・スマホ落としたら終わる
Re: (スコア:0)
「二段階アプリのコードだけで」って、それはもはや1段階(1要素)の認証だろう。
Re:これを機にgoogleとお別れかな (スコア:1)
それ、初回ログイン時にID/パスワード入力してて、そのセッションが残っている端末からならば「二段階アプリのコード」だけでログインできる、ということはないですか?
その場合、最初に知識認証をしており、それをアクセス端末の所持認証が引き継いでいる形なので、多要素認証の要件は満たしています。
(いきなり新しい端末でコードだけでログインできるなんてことある?ユーザIDわからなくない?)
Re: (スコア:0)
3段階認証より2段階認証、2段階認証より1段階認証の方がログインの手間が少なくて煩わしくないからでは?
Re: (スコア:0)
二段階認証は設定しとき。
そのうえでメーラーはアプリパスワードでSMTP/IMAP認証すれば、移行せんでもエエんやで。
K9-Mail(KQ-Mail)とQMAIL3を使ってるから ぶっちゃけ肝を冷やしたけど、一安心してる。
Re: (スコア:0)
やるやる詐欺
GMail (スコア:0)
はどうなるの?
thunderbirdから使えなくなったら致命的なんだけど
あと二段階認証にしてない場合は無事タヒ亡になるの!?
Re:GMail (スコア:1)
あとは、YubiKey等の物理セキュリティーキーを導入することかな。
目下最大の問題は、日本在住の個人が手に入れる方法が、一般人にはハードルが高いことですね。(GoogleStore通販、海外直販サイト、怪しい並行輸入業者)
#ここにいる逸般人はともかく
Re:GMail (スコア:1)
Yubikey なら正規代理店(ソフト技研)の正規流通品が Amazon.co.jp で売ってるし、
FEITAN の ePass FIDO キーの正規品もAmazon.co.jpで飛天ジャパンが売っている。
クレジットカードがなくてもコンビニエンスストアで支払いが出来る。
ここまでやっても一般人には入手のハードルが高いといわれたらもうどうにもならんな。
Re: (スコア:0)
大手家電量販店で「にだんかいにんしょうくださーい」で買えないうちは、ハードル高いっすよ?
Re:GMail (スコア:1)
ケンジントンのU2Fデバイスは家電量販店でも売っている
https://www.yodobashi.com/product/100000001003766745/ [yodobashi.com]
https://www.yodobashi.com/product/100000001006735176/ [yodobashi.com]
https://www.biccamera.com/bc/item/4037071/ [biccamera.com]
https://www.biccamera.com/bc/item/9726156/ [biccamera.com]
https://www.edion.com/detail.html?p_cd=00057464428 [edion.com]
Re: (スコア:0)
Amazonで買えるみたいですが?
それがハードル高いと言われると流石に…
Re: (スコア:0)
ThunderbirdはOAuth2.0対応している。
Re:GMail (スコア:1)
OAuth2.0は対応しているのですが、Thunderbird内蔵のWebブラウザーに対してCookieを受け入れる必要がありました。
これを知らなくて先日ちょっと苦労しました。
https://support.google.com/mail/thread/88721031/thunderbird-%E3%81%8B%... [google.com]
Re: (スコア:0)
Sylpheedからどっかに移行しないといけない時が来たか・・・
とりあえずThunderbird?
Re:GMail (スコア:1)
Outlook2019は対応している。
ShurikenProも対応していたようだ(評価版で確認した)が、個人向けは既に販売停止。
SylpheedからフォークしたClaws Mailも対応しているらしい [claws-mail.org](未確認)
後何があったっけ、というより何が生き残ってたっけ。
Re:GMail (スコア:1)
Beckyも対応した
Re:GMail (スコア:1)
Linux なら MH (nmh) が GMail の OAuth 2.0 に対応しているので
送受信は MH コマンド (inc/send) で行って、 Sylpheed では見るだけと
いう対応が出来そう。
Windows では O2Popper (https://www.nips.ac.jp/~murata/o2popper/ja/) を
噛ませれば対応できそう。
どちらも IMAP には対応していないのと、 O2Popper では
複数の GMail アカウントには対応していなそうなのが難点。
Re:GMail (スコア:1)
自分は別の要件でSylpheedからThunderbirdに移行しました。
SylpheedからThunderbirdはアカウントのメール格納形式をMaildir形式にしてSylpheedのメールファイルをThunderbirdのディレクトリにコピーしてフォルダ修復でインデックス作ってやればいけますね。
Re: (スコア:0)
MUA側のOAuth対応は進んだんですけど、PostfixのようなMTA側が対応進んでないので、このままだとウチで使っているメール通知システムは無事タヒ亡ですね
Re: (スコア:0)
読んでみたけど今一よくわからず
偉い人がいたら教えて下さい
・PC+メーラーを使う場合は5/30までにOAuth 2.0対応設定を済ませておく必要がある?
・ブラウザからID/PassでログインしてGmailを見ている人はそのままでも問題なし?
・AndroidスマホでGmailを見ている人は何もしなくてもok?
Re:GMail (スコア:1)
> ・PC+メーラーを使う場合は5/30までにOAuth 2.0対応設定を済ませておく必要がある?
もしメーラーがOAuth 2.0対応でなければ二段階認証を有効にしてアプリパスワードを設定する。二段階認証を有効にしたくないならメーラーのOAuth 2.0対応は必須。
> ・ブラウザからID/PassでログインしてGmailを見ている人はそのままでも問題なし?
上記のように、メーラーの対応状況によっては二段階認証を有効にする必要があるかもしれない。
> ・AndroidスマホでGmailを見ている人は何もしなくてもok?
スマホのことは知らん
余計なことすんなと (スコア:0)
カレンダーのOAuth認証はまあ分かるけど、GmailのOAuth認証強制は面倒が増えるだけ。
IMAP/POP/SMTPといった標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい。
セキュリティ強化ならGoogleアカウントとは別にGmail専用の第2パスワード(アプリパスワード)を払い出せば済む話だったのをOAuthで統一しようとするからおかしなことになる。
アプリパスワードは使えますけど (スコア:1)
> GmailのOAuth認証強制は面倒が増えるだけ。
アプリパスワードは2月28日以降も使えるので、OAuthで統一にはならないですよ。
Googleは一応OAuth非対応アプリもあるという現実を見ています。
あなたのGoogleアカウントでアプリパスワードの設定が表示されないのであれば、それは2段階認証が有効になっていないためです。
殆どのユーザーによっては、わざわざアプリパスワード発行するのは手間ですので、OAuthの方が合理的です。
OAuthってアプリパスワード(トークン)を自動的に発行するシステムのようなものですから、手動でやる手間が省ける訳です。
訂正 (スコア:0)
誤) 2月28日以降
正) 5月30日以降
Re: (スコア:0)
サービスによって認証方式が違うのはユーザー視点でも面倒が増えて嫌だな
Re: (スコア:0)
全くもってしらないのだがSMTPにあるプロトコルに定義された標準的な認証って具体的に何?
寧ろ無かったから後からSMTP-AUTHをひっつけたと思うんだけど
マジで知らないので具体的に教えて欲しい
IMAPの場合はSASLで任意の認証して構わないのでOAuth2.0による認証を標準化するのは
十二分にプロトコルにある標準的な認証だと思うんだけど
このレイヤーに従ってるのに一体全体何が標準的じゃないの?
Re: (スコア:0)
だからそのSMTP-AUTHじゃないの?
Re: (スコア:0)
SMTP標準にはSMTP-AUTHは含まれてません
SMTP全体の仕様には含まれてるけど
Re: (スコア:0)
言いたいのはデファクトスタンダードってやつでしょどう考えても。
揚げ足取りで悦に浸るのやめたほうがいいよ?
Re: (スコア:0)
「SMTP標準にはSMTP-AUTHは含まれてません」という解釈を採用すると、#4213314の言う「IMAP/POP/SMTPといった標準的なプロトコルによる認証」(のうち少なくともSTMPの場合)は何を意味するのか?という疑問が生じる。
Re: (スコア:0)
SMTP標準はRFC5321
SMTP-AUTHはRFC2554
最新のSMTP-AUTHはRFC4954でSASLになってるから任意の認証でステータスコード返せば良いはずっすよ
だから、RFC標準として番号が違うからSMTP標準にSMTP-AUTH(古いID/PASS認証)は含まれてない
Re: (スコア:0)
カレンダーのOAuth認証はまあ分かるけど、GmailのOAuth認証強制は面倒が増えるだけ。
IMAP/POP/SMTPといった標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい。
世界でもトップレベルの情報と人材・頭脳を持つgoogleがOAuth認証の強制を必要だと判断した訳で、なんで情報も知見も狭いあなたの判断が正しいと思っちゃうのか。
Re: (スコア:0)
Googleのやってきたことが常にいつでも正しかったなら説得力あったんだけどな……。。
ブラウザーからgmailのアクセスは? (スコア:0)
やはり使えなくなるの?
二段階認証などはせずにそのままなのだけど
Re: (スコア:0)
こうやって誤解するから、余計な「サードパーティ製アプリなどに影響」をトピック題に入れずに「安全性の低いアプリ」を入れればよかったのに。