IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 70
ストーリー by nagazou
終了 部門より
終了 部門より
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。
なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類を使用する新しいログイン操作しか受け付けなくなるとしている。
なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類を使用する新しいログイン操作しか受け付けなくなるとしている。
アプリ パスワードは使えるのでスマホで使用しているアカウントならばほぼ影響無し (スコア:5, 参考になる)
スマホで使用しているアカウントに関しては Googleは2022年の初め頃までに強制的に2段階認証の有効化 [impress.co.jp] を行ってます。
2段階認証有効の場合、[安全性の低いアプリの許可] は無効化されて、OAuth非対応のサードパーティアプリでは代わりにランダムに生成されるアプリパスワードを使う必要がありました。
※ただし2段階認証が強制的に有効化されたあと、ユーザーが無効にすることができるので、手動で無効化した場合はこの限りではありません。
そして、その アプリパスワード [google.com]は、2022年5月30日以降も使えますので、スマホで使っているアカウントであれば、影響ありません。
ちなみに、アプリパスワードは、Webブラウザーからログインできないという一点を除き、パスワード+2段階認証と同様にほぼフルコントロール権があります。
例えば、メール用に発行したアプリパスワードであっても、カレンダー等へのアクセスも可能です。
アプリパスワード [google.com] の「アプリ パスワードを忘れた場合」には、「すべてのアプリ パスワードは 1 回のみ使用できます。新しいアプリ パスワードはいつでも生成できます。」とありますが、
この「1 回のみ使用できます」は大嘘で、例えば秀丸メールで使用しているアプリパスワードを、他のメーラーで使用しても、問題なくログインできることを確認済みです。
Re:アプリ パスワードは使えるのでスマホで使用しているアカウントならばほぼ影響無し (スコア:2, 参考になる)
アプリパスワードのコンセプトは極めて単純だよ。発行数が無制限。アプリにつきいちパスワード。もっと言うとアンドロイドのfetchmail?に一パスワードパソコンのfetchmailに一パスワード、会社のパソコンのfetchmailに一パスワード、自宅のパソコンのfetchmailに一パスワードみたいなノリでどんどん増やす。
パスワードの値は忘れてどれに設定したかだけ覚えておく。(これはグーグルがやってくれる)流出したらそのアプリのせいだからそのアプリに設定したアプリパスワードを無効化してそのアプリを捨てる。
欠点としては不正ログインに使われたパスワードがどれか調べるのが難しいってことくらいか。