共计 3420 个字符,预计需要花费 9 分钟才能阅读完成。
Google 的新应用访问安全规则将于 9 月 30 日生效。
在关于针对 Gmail 用户攻击数量急剧上升的警告之后,Google 及时提醒 Google Workspace 用户即将强制采取更严格的安全措施。从 9 月 30 日起,从“不安全的应用”或“仅需要用户名和密码登录的设备”访问您的 Gmail 账户将不再被支持。第三方应用也将受到限制。这一最新举措是 Google 努力消除其所谓的“过时的登录方法”的一部分,这种方法使 Gmail 用户面临更大的风险,因为涉及与第三方应用和设备共享凭证。Google 表示,这一即将到来的变化将影响所有 Google Workspace 客户。
Google 明确表示,将在一年前发布的 [Google Workspace 更新](https://workspaceupdates.googleblog.com/2023/09/winding-down-google-sync-and-less-secure-apps-support.html “https://workspaceupdates.googleblog.com/2023/09/winding-down-google-sync-and-less-secure-apps-support.html”) 中取消对所谓不安全应用的支持,以及 Google Sync。这一决定最初在 2019 年 12 月提出,但由于 Covid-19 疫情的影响,于 2020 年 3 月暂停。现在,整理您的 Gmail、日历和联系人账户的截止日期即将到来。
尽管这可能让用户感到不便,但实际上,这是解决账户认证问题的常识性方法,这将有效缩小与 Gmail 账户相关的威胁范围。这确实是一个好消息,我们应该为 Google 最终采取行动解决不安全应用问题而鼓掌。事实上,这紧随 4 月 1 日对向 Gmail 账户批量发送邮件的更严格认证要求实施之后,以减少用户的恶意垃圾邮件流量。
Google 表示,除非使用更安全的访问方式,否则从 9 月 30 日起,所有此类“不安全应用”的访问将被停止:“您需要使用一种更安全的访问类型,称为 OAuth。”这适用于所有 Google Workspace 账户,CalDAV、CardDAV、IMAP、POP 和 Google Sync 将不再支持仅基于密码的登录凭证。
如 [之前报道](https://www.forbes.com/sites/daveywinder/2024/06/17/google-workspace-warning-less-secure-gmail-access-ends-in-3-months/ “https://www.forbes.com/sites/daveywinder/2024/06/17/google-workspace-warning-less-secure-gmail-access-ends-in-3-months/”),不安全应用设置已从 Google Workspace 管理控制台中移除,用户无法再启用此类设置。对于最终用户,Google 建议您需要采取行动,否则您将收到错误消息,提示您的用户名和密码登录不正确。
- Outlook 2016 或更早版本的用户应迁移到 Microsoft 365 或 Windows 或 Mac 版的 Outlook,因为这些版本支持所需的 OAuth 访问。
- Thunderbird 或其他电子邮件客户端的用户需要重新添加其 Google 账户,并确保配置为使用带有 OAuth 的 IMAP。
- 尚未使用“使用 Google 登录”的 iOS 或 MacOS 版 Mail 或 Mac 版 Outlook 用户应确保使用该功能,这将自动使用 OAuth,并且需要“删除并重新添加您的账户”。
Google 已确认,个人 Gmail 账户的用户将无法从其设置中切换 IMAP,因为“IMAP 访问始终通过 OAuth 启用,并且您当前的连接不会受到影响。”
OAuth 是 Open Authorization 的缩写,是一个框架,使用户能够安全地授权网站和服务访问其数据。这一开放标准意味着用户可以向这些网站和服务授予访问信息而不授予其访问密码凭证的权限。在此过程中涉及四个角色:资源所有者、第三方客户端、授权服务器和资源服务器。资源所有者是用户,用户告诉服务、网站或应用程序(第三方客户端)共享其信息但不共享登录凭证。那么这是如何工作的呢?我知道我之前说过很简单,但实际上相当复杂。简化的版本是,您与受信任的授权服务器共享登录凭证,该服务器颁发一个令牌以启用客户端的访问。正是这个令牌被第三方客户端用来从资源服务器(网站、服务或应用程序)访问数据,用户希望从中共享信息。
那么,passkeys 在这个过程中扮演什么角色呢?这是一个好问题,因为 passkey 的采用正在增加,密码管理应用程序开发商 1Password 报告称,仅在 2023 年最后四个月内,其用户就创建并保存了超过 70 万个 passkeys。根据 1Password 首席产品官 Steve Won 的说法,“passkeys 几乎不可能被黑客猜测或拦截,因为密钥是随机生成的,并且在登录过程中不会被共享。”这是因为 passkey 实际上由两个密钥组成:一个唯一的公钥和一个私钥。公钥由提供相关服务的公司创建并存储在其计算机上,而私钥则存储在用户的设备上,如智能手机或笔记本电脑。公钥用于创建只有私钥才能解决的挑战。
这并不意味着 passkeys 使 OAuth 过时。可以将 passkey 视为登录服务的用户名和密码的替代品,而 OAuth 则用于与第三方服务共享数据,因为它安全地授予访问令牌。
安全密钥的安全性并未受到严重影响。
首先,让我们看看 NinjaLabs 的安全研究人员发现并详细说明的内容。在他们的论文 [EUCLEAK: Side-Channel Attack on the YubiKey 5 Series](https://ninjalab.io/wp-content/uploads/2024/09/20240903/_eucleak.pdf “https://ninjalab.io/wp-content/uploads/2024/09/20240903_eucleak.pdf”) 中,研究员 Thomas Roche 揭示了一个加密库中的侧通道漏洞,由于“非恒定时间模逆”,这一漏洞在 14 年中未被发现。这听起来像是《神秘博士》的一集,尽管是事实而非虚构,但说实话,它可能同样令人费解。我并不是在贬低 Roche 和 NinjaLabs 的工作,但我确实对媒体的报道感到不满,这些报道在某些地方显得过于危言耸听。
必要的精确科学部分是,YubiKey 5 使用的微控制器存在一个漏洞,这意味着安全密钥可以被克隆。这是坏消息。好消息是,为了利用这一漏洞并克隆 YubiKey 5,或者任何使用相同微控制器的其他认证硬件,需要满足多个条件。这些都不是最容易完成的任务。首先,您需要物理访问安全密钥。大多数使用硬件安全密钥的人都会足够聪明,不会在去吃午饭或放在桌子上时将密钥插在机器上。这就是为什么用户愿意为这些产品付费的原因,他们欣赏所提供的安全性并知道如何减轻风险。但是,假设已经获得了对密钥的临时访问权限,那么攻击者还需要拆解密钥本身。这也不是一件容易的事,因为这些密钥被设计为防篡改的,正如您所期望的那样。但再次假设您没有使用溶剂和热风枪,并且设法将其拆开,那么接下来呢?只要拥有价值 11,000 美元的定制硬件,理论上就可以提取克隆所需的私钥。
说实话,我认为有很多更容易的方法来尝试破坏账户,而且成本更低,过程也不那么不确定。而且,不,我不会告诉您这些方法是什么,尽管网络钓鱼和恶意软件可能涉及其中。
正如 YubiKey 在其关于此事的公告 [YSA-2024-03](https://www.yubico.com/support/security-advisories/ysa-2024-03/ “https://www.yubico.com/support/security-advisories/ysa-2024-03/”) 中所说,“攻击者可能还需要额外的知识,包括用户名、PIN、账户密码或认证密钥”,这使得在现实世界中成为一个实际问题的可能性更低。但这并不意味着 YubiKey 在其安全成就上坐享其成。“作为 Yubico 产品持续改进的一部分,并减少对供应链的暴露,已移除对 Infineon 加密库的依赖,转而采用 Yubico 自己的加密库,”公告确认。
