パスワードを忘れた? アカウント作成
15592308 story
Google

IDとPWのみでのGoogleアカウントへのログインが5月30日に終了。サードパーティ製アプリなどに影響 70

ストーリー by nagazou
終了 部門より
もとの告知がいつ行われたのかはハッキリしないのだが、Googleは5月30日にユーザー名とパスワードのみでGoogle アカウントにログインする「安全性の低い」アプリとデバイスに関するサポートを終了するそうだ(安全性の低いアプリと Google アカウント)。これだけだと分かりにくいが過去記事に書かれたコメントによれば、同日以降はアプリ側でOAuth 2.0への対応が必須になるという意味だそうだ。OAuth 2.0非対応のメーラーなどを利用している場合は対策が必要になる。昨年話題となった秀丸メールでの対策事例が参考になると思われる(窓の杜)。

なお、Googleの告知ではAppleデバイスに関する注意も記載されている。Google側の説明によると、Appleデバイス上でユーザー名とパスワードのみを使用しているユーザーが最近ログインしていない場合、2月28日以降はGoogleアカウントの種類を使用する新しいログイン操作しか受け付けなくなるとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • スマホで使用しているアカウントに関しては Googleは2022年の初め頃までに強制的に2段階認証の有効化 [impress.co.jp] を行ってます。
    2段階認証有効の場合、[安全性の低いアプリの許可] は無効化されて、OAuth非対応のサードパーティアプリでは代わりにランダムに生成されるアプリパスワードを使う必要がありました。

    ※ただし2段階認証が強制的に有効化されたあと、ユーザーが無効にすることができるので、手動で無効化した場合はこの限りではありません。

    そして、その アプリパスワード [google.com]は、2022年5月30日以降も使えますので、スマホで使っているアカウントであれば、影響ありません。

    ちなみに、アプリパスワードは、Webブラウザーからログインできないという一点を除き、パスワード+2段階認証と同様にほぼフルコントロール権があります。
    例えば、メール用に発行したアプリパスワードであっても、カレンダー等へのアクセスも可能です。

    アプリパスワード [google.com] の「アプリ パスワードを忘れた場合」には、「すべてのアプリ パスワードは 1 回のみ使用できます。新しいアプリ パスワードはいつでも生成できます。」とありますが、
    この「1 回のみ使用できます」は大嘘で、例えば秀丸メールで使用しているアプリパスワードを、他のメーラーで使用しても、問題なくログインできることを確認済みです。

    • by Anonymous Coward

      誤訳ってことかな… one time ≒ 使い捨て

    • by Anonymous Coward

      使い捨てってのも変かな。
      1アカウントにつき1つだけ、再生成したら以前に生成したアプリパスワードは使えないってことを言いたいのだと思う。
      アプリパスワード自体は再生成しない限り何度でもどこからでも使用出来ます。

      fetchmailでアクセスするのにアプリパスワードしか手がないんだよね。
      ひょっとして今だと他の手があるのだろうか。

      • アプリパスワードのコンセプトは極めて単純だよ。発行数が無制限。アプリにつきいちパスワード。もっと言うとアンドロイドのfetchmail?に一パスワードパソコンのfetchmailに一パスワード、会社のパソコンのfetchmailに一パスワード、自宅のパソコンのfetchmailに一パスワードみたいなノリでどんどん増やす。
        パスワードの値は忘れてどれに設定したかだけ覚えておく。(これはグーグルがやってくれる)流出したらそのアプリのせいだからそのアプリに設定したアプリパスワードを無効化してそのアプリを捨てる。
        欠点としては不正ログインに使われたパスワードがどれか調べるのが難しいってことくらいか。

        親コメント
  • by Anonymous Coward on 2022年03月10日 15時26分 (#4213284)

    二段階認証設定などせずに使ってきているけどおそらくもう限界。これを機に移行する予定。
    一番ハードルに感じてたのはSMTP認証で使ってるgmailだけどメール転送設定だけしておけばいいかな。

    • by Anonymous Coward

      > メール転送設定だけしておけばいいかな
      お別れになってないじゃん

      • by Anonymous Coward

        住居の引っ越しと同じでしょ。住所変更などし忘れがあったら困るから郵便転送お願いしておくのと同じで、メアドも転送できるならしておくのは妥当。

        #移行=垢削除 と迷わず削除実行する人いるけど信じられない。トラブらないのかな・・・

        • by Anonymous Coward

          メールサーバーの引っ越しは、転送なんていらないじゃん。
          引っ越す気がないとしか。

    • by Anonymous Coward

      え、いや
      セキュリティ的に対策しないでお別れかなってどういう意味・・・?
      二段階認証とかやりたくない理由はなに?

      • by Anonymous Coward

        ふだん使いのソフトが二段階認証に対応してないからでは。
        たとえば私はDebian w/KDEなマシンで、EmacsとFirefoxだけでほぼ全てが済むような生活をしていて、Gmailを含むメールはEmacs上のWanderlustで読み書きしてるけど、これができなくなる。

        なので、私はこれを機にProtonMailの有料アカウントを契約して全面移行した。
        ProtonMailならProtonMail Bridge [protonmail.com]を介せばSTARTTLSを解するMUAが使えるのでWanderlustがそのまま使える。もちろんスマートフォン用の専用アプリとも同期する。

        ProtonMailそのものに若干の問題はあることは承知だが、それでもGmailからの移行先としては良いと思っている。

        • by Anonymous Coward

          え、ごめん
          もっとわかんないんだけどWanderlustにOAuth2.0対応のパッチ作って送ればいいだけじゃないの・・・?

          • by Anonymous Coward

            そんなメンドーなことしたくないのでは?

          • by Anonymous Coward

            歳を取るととにかく変更を嫌がるんですよ。つーかついていけない。
            WindowsのUIでも、前のほうがよかったって盛んに言ってる人いるでしょ?
            若い人でそんなこと言ってるの見たことない。
             
            # まあ俺もWindowsは昔のほうがよかったりするけど...

      • by Anonymous Coward

        お気持ちを表明したいか、お別れ会をやって欲しいんじゃない?
        移行先がどこかは気になるけど。

      • by Anonymous Coward

        二段階認証って逆にセキュリティ弱くなるサービスあるし、面倒だから嫌う人は多いね。

        #二段階アプリのコードだけでログインと残高送金できてしまう仮想通貨取引所・・・スマホ落としたら終わる

        • by Anonymous Coward

          「二段階アプリのコードだけで」って、それはもはや1段階(1要素)の認証だろう。

          • それ、初回ログイン時にID/パスワード入力してて、そのセッションが残っている端末からならば「二段階アプリのコード」だけでログインできる、ということはないですか?

            その場合、最初に知識認証をしており、それをアクセス端末の所持認証が引き継いでいる形なので、多要素認証の要件は満たしています。

            (いきなり新しい端末でコードだけでログインできるなんてことある?ユーザIDわからなくない?)

            親コメント
      • by Anonymous Coward

        3段階認証より2段階認証、2段階認証より1段階認証の方がログインの手間が少なくて煩わしくないからでは?

    • by Anonymous Coward

      二段階認証は設定しとき。
      そのうえでメーラーはアプリパスワードでSMTP/IMAP認証すれば、移行せんでもエエんやで。

      K9-Mail(KQ-Mail)とQMAIL3を使ってるから ぶっちゃけ肝を冷やしたけど、一安心してる。

    • by Anonymous Coward

      やるやる詐欺

  • by Anonymous Coward on 2022年03月10日 15時37分 (#4213288)

    はどうなるの?
    thunderbirdから使えなくなったら致命的なんだけど
    あと二段階認証にしてない場合は無事タヒ亡になるの!?

    • by Anonymous Coward on 2022年03月10日 15時47分 (#4213291)

      あとは、YubiKey等の物理セキュリティーキーを導入することかな。
      目下最大の問題は、日本在住の個人が手に入れる方法が、一般人にはハードルが高いことですね。(GoogleStore通販、海外直販サイト、怪しい並行輸入業者)

      #ここにいる逸般人はともかく

      親コメント
    • by Anonymous Coward

      ThunderbirdはOAuth2.0対応している。

    • by Anonymous Coward

      Sylpheedからどっかに移行しないといけない時が来たか・・・
      とりあえずThunderbird?

      • by Anonymous Coward on 2022年03月10日 16時09分 (#4213303)

        Outlook2019は対応している。
        ShurikenProも対応していたようだ(評価版で確認した)が、個人向けは既に販売停止。
        SylpheedからフォークしたClaws Mailも対応しているらしい [claws-mail.org](未確認)

        後何があったっけ、というより何が生き残ってたっけ。

        親コメント
      • by Anonymous Coward on 2022年03月10日 17時12分 (#4213384)

        Linux なら MH (nmh) が GMail の OAuth 2.0 に対応しているので
        送受信は MH コマンド (inc/send) で行って、 Sylpheed では見るだけと
        いう対応が出来そう。

        Windows では O2Popper (https://www.nips.ac.jp/~murata/o2popper/ja/) を
        噛ませれば対応できそう。

        どちらも IMAP には対応していないのと、 O2Popper では
        複数の GMail アカウントには対応していなそうなのが難点。

        親コメント
      • by Anonymous Coward on 2022年03月10日 20時43分 (#4213584)

        自分は別の要件でSylpheedからThunderbirdに移行しました。
        SylpheedからThunderbirdはアカウントのメール格納形式をMaildir形式にしてSylpheedのメールファイルをThunderbirdのディレクトリにコピーしてフォルダ修復でインデックス作ってやればいけますね。

        親コメント
    • by Anonymous Coward

      MUA側のOAuth対応は進んだんですけど、PostfixのようなMTA側が対応進んでないので、このままだとウチで使っているメール通知システムは無事タヒ亡ですね

    • by Anonymous Coward

      読んでみたけど今一よくわからず
      偉い人がいたら教えて下さい
      ・PC+メーラーを使う場合は5/30までにOAuth 2.0対応設定を済ませておく必要がある?
      ・ブラウザからID/PassでログインしてGmailを見ている人はそのままでも問題なし?
      ・AndroidスマホでGmailを見ている人は何もしなくてもok?

      • by Anonymous Coward on 2022年03月11日 2時06分 (#4213755)

        > ・PC+メーラーを使う場合は5/30までにOAuth 2.0対応設定を済ませておく必要がある?

        もしメーラーがOAuth 2.0対応でなければ二段階認証を有効にしてアプリパスワードを設定する。二段階認証を有効にしたくないならメーラーのOAuth 2.0対応は必須。

        > ・ブラウザからID/PassでログインしてGmailを見ている人はそのままでも問題なし?

        上記のように、メーラーの対応状況によっては二段階認証を有効にする必要があるかもしれない。

        > ・AndroidスマホでGmailを見ている人は何もしなくてもok?

        スマホのことは知らん

        親コメント
  • by Anonymous Coward on 2022年03月10日 16時19分 (#4213314)

    カレンダーのOAuth認証はまあ分かるけど、GmailのOAuth認証強制は面倒が増えるだけ。
    IMAP/POP/SMTPといった標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい。
    セキュリティ強化ならGoogleアカウントとは別にGmail専用の第2パスワード(アプリパスワード)を払い出せば済む話だったのをOAuthで統一しようとするからおかしなことになる。

    • by Anonymous Coward on 2022年03月10日 17時22分 (#4213399)

      > GmailのOAuth認証強制は面倒が増えるだけ。

      アプリパスワードは2月28日以降も使えるので、OAuthで統一にはならないですよ。
      Googleは一応OAuth非対応アプリもあるという現実を見ています。
      あなたのGoogleアカウントでアプリパスワードの設定が表示されないのであれば、それは2段階認証が有効になっていないためです。

      殆どのユーザーによっては、わざわざアプリパスワード発行するのは手間ですので、OAuthの方が合理的です。
      OAuthってアプリパスワード(トークン)を自動的に発行するシステムのようなものですから、手動でやる手間が省ける訳です。

      親コメント
    • by Anonymous Coward

      サービスによって認証方式が違うのはユーザー視点でも面倒が増えて嫌だな

    • by Anonymous Coward

      全くもってしらないのだがSMTPにあるプロトコルに定義された標準的な認証って具体的に何?
      寧ろ無かったから後からSMTP-AUTHをひっつけたと思うんだけど
      マジで知らないので具体的に教えて欲しい

      IMAPの場合はSASLで任意の認証して構わないのでOAuth2.0による認証を標準化するのは
      十二分にプロトコルにある標準的な認証だと思うんだけど
      このレイヤーに従ってるのに一体全体何が標準的じゃないの?

      • by Anonymous Coward

        だからそのSMTP-AUTHじゃないの?

        • by Anonymous Coward

          SMTP標準にはSMTP-AUTHは含まれてません
          SMTP全体の仕様には含まれてるけど

          • by Anonymous Coward

            言いたいのはデファクトスタンダードってやつでしょどう考えても。
            揚げ足取りで悦に浸るのやめたほうがいいよ?

          • by Anonymous Coward

            「SMTP標準にはSMTP-AUTHは含まれてません」という解釈を採用すると、#4213314の言う「IMAP/POP/SMTPといった標準的なプロトコルによる認証」(のうち少なくともSTMPの場合)は何を意味するのか?という疑問が生じる。

            • by Anonymous Coward

              SMTP標準はRFC5321
              SMTP-AUTHはRFC2554
              最新のSMTP-AUTHはRFC4954でSASLになってるから任意の認証でステータスコード返せば良いはずっすよ

              だから、RFC標準として番号が違うからSMTP標準にSMTP-AUTH(古いID/PASS認証)は含まれてない

    • by Anonymous Coward

      カレンダーのOAuth認証はまあ分かるけど、GmailのOAuth認証強制は面倒が増えるだけ。
      IMAP/POP/SMTPといった標準的なプロトコルによる認証がすでにあるんだから、それに従って欲しい。

      世界でもトップレベルの情報と人材・頭脳を持つgoogleがOAuth認証の強制を必要だと判断した訳で、なんで情報も知見も狭いあなたの判断が正しいと思っちゃうのか。

      • by Anonymous Coward

        Googleのやってきたことが常にいつでも正しかったなら説得力あったんだけどな……。。

  • by Anonymous Coward on 2022年03月10日 19時19分 (#4213517)

    やはり使えなくなるの?
    二段階認証などはせずにそのままなのだけど

    • by Anonymous Coward

      こうやって誤解するから、余計な「サードパーティ製アプリなどに影響」をトピック題に入れずに「安全性の低いアプリ」を入れればよかったのに。

typodupeerror

身近な人の偉大さは半減する -- あるアレゲ人

読み込み中...