Google, Google Sync और सिर्फ पासवर्ड वाले ऐप्स का सपोर्ट बंद करेगा
(workspaceupdates.googleblog.com)- Google Workspace, केवल यूज़रनेम और पासवर्ड साझा करके लॉगिन करने वाले Less Secure Apps(LSA) तरीके को बंद कर रहा है, और ईमेल, कैलेंडर व कॉन्टैक्ट्स सिंक के लिए OAuth-आधारित लॉगिन अनिवार्य कर रहा है
- बंद करने का शेड्यूल 15 जून 2024 और 30 सितंबर 2024 के दो चरणों में शुरू हुआ था, लेकिन रोलआउट रोके जाने और फिर शुरू होने के बाद 1 मई 2025 से LSA अब समर्थित नहीं रहेगा
- केवल पासवर्ड का इस्तेमाल करने वाले CalDAV, CardDAV, IMAP, SMTP, POP कनेक्शन और Google Sync प्रभावित होंगे, और नए व मौजूदा Google Sync यूज़र—दोनों को माइग्रेशन करना होगा
- एडमिन को प्रभावित यूज़र्स के साथ OAuth पर स्विच करने के निर्देश साझा करने होंगे, और MDM से डिप्लॉय किए जा रहे पासवर्ड-आधारित प्रोफाइल को भी Google Account को OAuth के साथ फिर से जोड़ने के तरीके में बदलना होगा
- बंद होने की तारीख तक कार्रवाई न करने वाले यूज़र यूज़रनेम-पासवर्ड कॉम्बिनेशन त्रुटि के कारण लॉगिन नहीं कर पाएंगे, और डेवलपर्स को Workspace संगतता के लिए ऐप कनेक्शन तरीके को OAuth 2.0 में अपडेट करना होगा
सिर्फ पासवर्ड वाले लॉगिन तरीके का अंत
- Google Workspace अब उन लॉगिन तरीकों का समर्थन नहीं करेगा जिनमें थर्ड-पार्टी ऐप या डिवाइस सीधे Google यूज़रनेम और पासवर्ड मांगते हैं
- इस तरीके को Less Secure Apps(LSA) कहा जाता है, और इसमें Google खाते के क्रेडेंशियल थर्ड-पार्टी ऐप्स और डिवाइसों के साथ साझा करने पड़ते हैं, जिससे खाते में अनधिकृत एक्सेस का जोखिम बढ़ता है
- इसका विकल्प Sign in with Google है, जो OAuth का उपयोग करता है—यह अधिकांश थर्ड-पार्टी ऐप्स और डिवाइसों में पहले से इस्तेमाल होने वाला इंडस्ट्री-स्टैंडर्ड ऑथेंटिकेशन तरीका है
- Google ने इस बदलाव की घोषणा 2019 में की थी, और बाद में लागू करने का शेड्यूल फिर से प्रकाशित किया
बंद करने का शेड्यूल और स्थगन का इतिहास
- LSA एक्सेस खत्म करने की योजना मूल रूप से दो चरणों में थी
- 15 जून 2024 से Admin Console की LSA सेटिंग हटा दी गई, इसलिए इसे अब बदला नहीं जा सकता
- जिन यूज़र्स के लिए यह पहले से सक्रिय था वे कनेक्ट रह सकते थे, लेकिन निष्क्रिय यूज़र्स LSA एक्सेस नहीं कर सकते थे
- इसमें Gmail, Google Calendar, Contacts को केवल पासवर्ड से एक्सेस करने वाले CalDAV, CardDAV, IMAP, SMTP, POP-आधारित थर्ड-पार्टी ऐप्स शामिल थे
- यूज़र की Gmail सेटिंग्स से IMAP को सक्षम/अक्षम करने की सेटिंग भी हटा दी गई
- इस तारीख से पहले से LSA इस्तेमाल कर रहे यूज़र्स मूल योजना के अनुसार 30 सितंबर 2024 तक इसका उपयोग जारी रख सकते थे
- 30 सितंबर 2024 से सभी Google Workspace खातों में LSA एक्सेस बंद करने का शेड्यूल था
- CalDAV, CardDAV, IMAP, POP, Google Sync केवल पासवर्ड से लॉगिन करने पर अब काम नहीं करते
- उपयोग जारी रखने के लिए अधिक सुरक्षित एक्सेस तरीके, यानी OAuth से लॉगिन करना होगा
- इसके बाद शेड्यूल कई बार बदला गया
- 15 अक्टूबर 2024 के अपडेट में रोलआउट साल के अंत तक रोक दिया गया, और इसे जनवरी 2025 में फिर शुरू करने की योजना बनी
- 27 जनवरी 2025 के अपडेट में रोलआउट फिर शुरू हुआ, और अंतिम निष्क्रियता मार्च 2025 के लिए तय की गई
- 12 फरवरी 2025 के अपडेट में LSA सपोर्ट समाप्ति की तारीख 14 मार्च 2025 कर दी गई
- 29 अप्रैल 2025 के अपडेट में बताया गया कि LSA 1 मई 2025 से अब समर्थित नहीं रहेगा
Google Sync इस्तेमाल करने वाले संगठनों के लिए जाँच बिंदु
- इस बदलाव में Google Sync का बंद होना भी शामिल है
- Google Sync बंद करने का मूल शेड्यूल इस प्रकार था
- 15 जून 2024 से नए यूज़र Google Sync के जरिए Google Workspace से कनेक्ट नहीं कर सकते
- 30 सितंबर 2024 से मौजूदा Google Sync यूज़र भी Google Workspace से कनेक्ट नहीं कर सकते
- संगठन में Google Sync उपयोग की स्थिति Admin Console में जाँची जा सकती है
- पाथ: Devices > Mobile & Endpoints > Devices
- फिल्टर: Type: Google Sync
एडमिन और MDM कॉन्फ़िगरेशन पर असर
- एडमिन को अंतिम यूज़र्स को यह निर्देश देना होगा कि अगर वे Google Workspace खाते के साथ ऐप्स का उपयोग जारी रखना चाहते हैं, तो OAuth-आधारित एक्सेस तरीके पर स्विच करें
- प्रभावित यूज़र्स की जानकारी आने वाले कुछ महीनों में संगठनों को ईमेल से दी जाएगी
- MDM प्रोवाइडर के जरिए IMAP, CalDAV, CardDAV, POP, Exchange ActiveSync(Google Sync) प्रोफाइल कॉन्फ़िगर करने वाले संगठन भी प्रभावित होंगे
- 15 जून 2024 से पासवर्ड-आधारित IMAP, CalDAV, CardDAV, SMTP, POP, Exchange ActiveSync(Google Sync) के MDM push उन ग्राहकों के लिए काम नहीं करेंगे जो पहली बार LSA से कनेक्ट करने की कोशिश कर रहे हैं
- Google Endpoint Management का उपयोग करने पर CalDAV और CardDAV के लिए Custom Push Configuration सेटिंग चालू नहीं की जा सकती
- 30 सितंबर 2024 से मौजूदा यूज़र्स के लिए पासवर्ड-आधारित IMAP, CalDAV, CardDAV, SMTP, POP push काम नहीं करेंगे
- एडमिन को MDM प्रोवाइडर का उपयोग करके Google Account push करना होगा, और यह तरीका iOS डिवाइसों में Google खाते को OAuth के साथ फिर से जोड़ता है
- पासवर्ड-आधारित Exchange ActiveSync(Google Sync) push भी मौजूदा यूज़र्स के लिए काम नहीं करेगा
- Google Endpoint Management की “Custom push configuration-CalDAV” और “Customer push configuration-CardDAV” सेटिंग्स प्रभावी नहीं रहेंगी
डिवाइस, ऐप और डेवलपर के हिसाब से माइग्रेशन तरीका
- अगर स्कैनर या कोई अन्य डिवाइस SMTP या LSA के जरिए ईमेल भेजता है, तो निम्न में से एक आवश्यक होगा
- OAuth उपयोग के लिए कॉन्फ़िगर करना
- वैकल्पिक तरीका इस्तेमाल करना
- उस डिवाइस के लिए ऐप पासवर्ड कॉन्फ़िगर करना
- जो ऐप्स केवल यूज़रनेम और पासवर्ड से Google खाते तक पहुंचते हैं, उन्हें माइग्रेशन कार्रवाई करनी होगी
- बंद होने की तारीख तक कार्रवाई न करने पर यूज़रनेम-पासवर्ड कॉम्बिनेशन गलत होने की त्रुटि दिखेगी और लॉगिन नहीं हो पाएगा
- ईमेल ऐप के हिसाब से कदम
- Outlook 2016 या उससे पुराने वर्ज़न को Microsoft 365, Outlook for Windows, Outlook for Mac पर जाना होगा, क्योंकि ये OAuth एक्सेस का समर्थन करते हैं
- विकल्प के तौर पर Google Workspace Sync for Microsoft Outlook का उपयोग किया जा सकता है
- Thunderbird या अन्य ईमेल क्लाइंट में Google खाते को फिर से जोड़कर IMAP को OAuth के साथ कॉन्फ़िगर करना होगा
- iOS या macOS Mail ऐप, Outlook for Mac में अगर आप केवल पासवर्ड से लॉगिन कर रहे हैं, तो खाते को हटाकर फिर से जोड़ना होगा और “Sign in with Google” चुनना होगा
- कैलेंडर और कॉन्टैक्ट्स ऐप्स को भी OAuth समर्थित तरीके पर स्विच करना होगा
- पासवर्ड-आधारित CalDAV कैलेंडर ऐप्स को OAuth समर्थित तरीके में बदलना होगा, और Google, Google Calendar ऐप की सिफारिश करता है
- iOS या macOS कैलेंडर ऐप में अगर आप केवल पासवर्ड से लॉगिन कर रहे हैं, तो खाते को हटाकर फिर से जोड़ना होगा और “Sign in with Google” चुनना होगा
- iOS या macOS पर CardDAV से कॉन्टैक्ट्स सिंक कर रहे हैं और केवल पासवर्ड से लॉगिन कर रहे हैं, तो खाते को हटाकर फिर से जोड़ना होगा और “Sign in with Google” चुनना होगा
- दूसरे प्लेटफॉर्म या ऐप में CardDAV और केवल पासवर्ड का उपयोग करने पर OAuth समर्थित तरीके पर स्विच करना होगा
- OAuth का समर्थन नहीं करने वाले ऐप्स को OAuth उपलब्ध कराने वाले ऐप्स से बदलना होगा या ऐप पासवर्ड बनाकर एक्सेस करना होगा
- डेवलपर्स को Google Workspace खातों के साथ संगतता बनाए रखने के लिए ऐप कनेक्शन तरीके को OAuth 2.0 में अपडेट करना होगा
- Google, OAuth 2.0 के जरिए Google API एक्सेस करने की डेवलपर गाइड और मोबाइल व डेस्कटॉप ऐप्स के लिए OAuth 2.0 गाइड उपलब्ध कराता है
व्यक्तिगत Google खाते और लागू दायरा
- व्यक्तिगत Google खाते के यूज़र्स के लिए Gmail सेटिंग्स में IMAP सक्षम/अक्षम टॉगल हटाया जाएगा
- व्यक्तिगत खातों में IMAP एक्सेस OAuth के जरिए हमेशा सक्षम रहता है, और मौजूदा कनेक्शन प्रभावित नहीं होंगे
- व्यक्तिगत Google खाते के यूज़र्स को अलग से कोई कार्रवाई करने की जरूरत नहीं है
- यह बदलाव सभी Google Workspace ग्राहकों पर लागू होगा
1 टिप्पणियां
Hacker News की राय
यह पढ़कर एक पल के लिए दिल बैठ गया — क्योंकि Gmail से जुड़े कई scripts और tools हैं
फिर भी सब ठीक लगता है। App Passwords अभी भी काम करते दिख रहे हैं, और यह बदलाव खाते के सामान्य username/password का उपयोग करने वाले Less Secure Apps सपोर्ट को हटाने के ज़्यादा करीब है
बस यह सोचकर ही घबराहट होती है कि अगर Google, OAuth के अलावा बाकी सब सचमुच हटा दे, तो कितनी automation टूट जाएगी
OAuth की जटिलता पसंद नहीं है, और इस Perl module documentation ने उसकी संरचना को जिस तरह समझाया है, वह अच्छा लगा। साफ़ दिखता है कि यह किसी ऐसे व्यक्ति ने लिखा है जो मेरी तरह इससे परेशान था: https://metacpan.org/dist/LWP-Authen-OAuth2/view/lib/LWP-Aut...
मुझे भी ऐसा ही मसला आया था, और एक Workspace में app passwords बंद थे। एक छोटा Python script लेकर OAuth token हासिल करें और उसे password की तरह इस्तेमाल करें: https://github.com/google/gmail-oauth2-tools/blob/master/pyt...
उदाहरण के लिए https://github.com/lefcha/imapfilter/issues/186 देखें
अभी मुझे LSA switch चालू रखना पड़ता है ताकि मेरा मुख्य Gmail account दूसरे कई Gmail accounts की credentials के साथ SMTP भेज सके। समझ नहीं आता कि दूसरे Gmail accounts की नज़र में Gmail खुद LSA क्यों है
वे 16 lowercase characters के होते हैं, 4-4 के समूह में space से अलग, और उनमें न numbers होते हैं न special characters
Keepass, spaces हटाने पर, इसे 65-bit entropy वाले कमजोर password के रूप में आँकता है
समझ नहीं आता कि यह सुधार कैसे है
अगर OAuth पर migrate नहीं कर सकते, तो मेरा proxy इस्तेमाल करें; इससे ऐसे IMAP/POP/SMTP clients भी “modern” email providers के साथ चल सकते हैं जो OAuth 2.0 को सीधे support नहीं करते: https://github.com/simonrob/email-oauth2-proxy
client को OAuth के बारे में कुछ भी जानने की ज़रूरत नहीं है
अगर OAuth पर migrate नहीं कर सकते, तो app password बनाइए और उसे हमेशा की तरह IMAP password के रूप में इस्तेमाल करते रहिए
वजह यह है कि IMAP, SMTP, POP, Google account और पूरी digital life तक काफ़ी पहुँच दे देते हैं, लेकिन इनमें 2-factor authentication का कोई तरीका नहीं है, और न ही bot-prevention verification मिलता है
इससे credential stuffing attacks बहुत आसान हो जाते हैं, और Google के scale पर ऐसे हमलों से बहुत लोगों की ज़िंदगी बिगड़ सकती है
यह अच्छा बदलाव है और इसे कुछ साल पहले ही हो जाना चाहिए था। दरअसल, IMAP/POP/SMTP access को default रूप से disabled रखने जैसी दिशा में Google कुछ हद तक पहले ही जा चुका था, और ज़्यादातर users उसी से सुरक्षित हैं। यह कदम बाकी users के लिए है
Dovecot में पसंदीदा authentication module चुनकर incoming password को
pwd+otp codeके रूप में पढ़ने के लिए बदल दें। अगर user ने 2-factor authentication चालू किया है, तो आख़िरी 6 characters पढ़कर TOTP से मिलाएँमेल होने पर उस IP को x minutes तक allow करें या अपनी पसंद की policy लागू करें
हैरानी की बात है कि यह अच्छी तरह काम करता है
वह address Gmail का न हो और IMAP/POP की अनुमति देता रहे। यह कोई रामबाण नहीं, लेकिन कुछ use cases में स्वीकार्य workaround हो सकता है
यह बेहतरीन native mail apps से users को हटाकर Google के अपने apps की तरफ धकेलने की कोशिश है।
gmail.appया जल्द बंद होने वाले Google sync के बिना real-time mail notifications नहीं मिलेंगी। यह पसंद नहीं है। Workspace के पैसे दे रहा हूँ, फिर भी पसंद नहीं है। डेस्कटॉप पर Mimestream अभी काम करता है, लेकिन लगता है अगला निशाना वही होगाJMAP एक अच्छा standard protocol है, लेकिन mail providers और mail apps के बीच chicken-and-egg समस्या की वजह से इसका adoption बेहद कम है। अगर Gmail JMAP support करे, तो implementers को हर जगह support जोड़ने के लिए प्रेरित किया जा सकता है। JMAP notifications और दूसरी सुविधाएँ भी support करता है
ईमेल के लिए OAuth कई email authentication RFCs में शामिल है और कई सालों से मौजूद है।
Thunderbird और कई mobile apps OAuth का इस्तेमाल करके Gmail को अच्छी तरह support करते हैं। बड़ी समस्या यह लगती है कि बहुत-से desktop apps ने लगभग 10 साल पहले IMAP और SMTP बदलावों को implement करना ही बंद कर दिया।
अगर email app अब maintain नहीं हो रहा, तो Google के linked post में बताए अनुसार app-specific password इस्तेमाल किया जा सकता है। वे आगे भी काम करेंगे। जो हट रहा है, वह default account के लिए hardcoded username/password तरीका है।
Office 2016 users के लिए यह बड़ी परेशानी होगी। 30 सितंबर Outlook support खत्म होने से अभी लगभग 9 महीने पहले है। लेकिन ज्यादातर users के लिए यह शायद काफी आसान fix होगा
ईमेल asynchronous होता है, इसलिए message आने के 10 मिनट बाद पता चले तो भी कोई समस्या नहीं होनी चाहिए। अगर किसी email का इंतज़ार है, तो वैसे भी उसके आने तक refresh बार-बार करते रहेंगे।
अगर उससे भी ज़्यादा urgent हो, तो text message कर देना चाहिए। बस फोन न करें। फोन पसंद नहीं है
इसमें लिखा है: “App passwords Google Account तक पहुँच देने वाला 16-अंकों का passcode है, जिसे कम सुरक्षित app या device इस्तेमाल कर सकता है, और यह केवल उन accounts पर उपलब्ध है जिनमें 2-Step Verification चालू है”: https://support.google.com/mail/answer/185833
मज़ेदार बात यह है कि अगर “कम सुरक्षित app या device” सिर्फ वही server-side mechanisms इस्तेमाल करे जिन्हें Google पहले से बढ़ावा दे सकता था, तो वह security के लिहाज़ से OAuth-supporting app के लगभग बराबर हो जाता है। तकनीकी तौर पर यह app की क्षमता जैसा भी नहीं लगता।
बेशक, यह कहा जा सकता है कि “कम सुविधाजनक apps के लिए सुरक्षित workflow” जैसा नाम संदेश को कमजोर कर देता, इसलिए simplification जायज़ है। बड़ी समस्या यह है कि Google की आदत रही है कि वह security concerns की व्याख्या हमेशा अपने एजेंडा के अनुकूल तरीके से करता है, और यह हिस्सा भी उसका अपवाद नहीं है
अब वह बस उन apps के लिए इसे अनिवार्य बना रहा है जिन्हें OAuth support करने के लिए update नहीं किया जा सकता
App passwords कार्यात्मक रूप से लगभग सब-कुछ-या-कुछ-नहीं जैसा मॉडल है, जबकि OAuth में read, modify, settings change जैसी permissions configure की जा सकती हैं
Android पर Google OAuth2 की सबसे परेशान करने वाली बात यह है कि email client या calendar में Google account से login करने के लिए पूरा phone उसी Google account से जुड़ना पड़ता है।
साथ ही वह Google account device policy permissions भी हासिल कर लेता है। मेरी नज़र में यह पूरी तरह बेतुका है।
App के अंदर WebView में OAuth2 इस्तेमाल करना भी Android पर Google आसानी से सीमित कर सकता है, इसलिए इससे बच निकलना भी मुश्किल है
अफ़सोस की बात है कि भरोसेमंद email clients बहुत कम हैं। उनमें से कई credentials को remote servers पर भेज देते हैं।
संपादन: k9 पहले से IMAP के लिए OAuth support करता है।
https://docs.k9mail.app/en/6.400/accounts/incoming_imap/
शब्दावली थोड़ी अस्पष्ट है, लेकिन लगता है कि app-specific passwords आगे भी काम करेंगे।
उद्धरण में कहा गया है कि SMTP या LSA के ज़रिए email भेजने वाले scanners और devices को OAuth इस्तेमाल करने के लिए configure करना होगा, कोई alternative method इस्तेमाल करना होगा, या device के लिए app password सेट करना होगा।
यह भी कहा गया है कि जो apps OAuth support नहीं करते, उन्हें या तो OAuth देने वाले app से बदलें या access के लिए app password बनाएँ
इसलिए मैंने कल सीधे Google Workspace Support से पूछा, और जवाब था: “application passwords IMAP, POP, और सभी SMTP configurations को support करते हैं।”
दूसरा वाक्य लगातार OAuth adoption को आगे बढ़ाने वाला था। मैं भी ऐसा करना चाहता हूँ, लेकिन बार-बार होने वाले security review की लागत हमारे जैसे छोटे SaaS apps के लिए उठाना मुश्किल है, इसलिए शुक्र है कि हम app passwords का इस्तेमाल जारी रख पाएँगे।
यह Workspace खाते से संबंधित बात है, और सामान्य Gmail खातों पर यह बदलाव कुछ साल पहले ही लागू हो चुका था
मैं अभी भी अपने निजी Gmail खाते को iPhone के Mail.app में Microsoft Exchange विकल्प के जरिए एक्सेस करता हूँ, और यह Fetch से बंधा नहीं है, इसलिए मुझे इस तरीके से push notifications मिलती हैं
यह इसलिए काम करता है क्योंकि लगभग 10 साल पहले बंद करने की तारीख से पहले निजी खाते के लिए Google Sync में बनाया गया कनेक्शन अभी भी बना हुआ है और उसे मानो “grandfathered” की तरह मान्यता मिली हुई है
इसलिए इसे चलाने के लिए iPhone के Exchange GUID को उस फ़ोन के GUID में बदलना होगा, जिसने नए लॉगिन बंद होने से पहले Google Sync में लॉगिन किया था
सौभाग्य से, iPhone backup बनाकर, backup के अंदर की plist फ़ाइल को संशोधित करके और फिर restore करके यह GUID बदलना संभव है
मैं अभी भी iPhone 14 Pro पर अपने निजी Gmail खाते के लिए Mail.app और push notifications इस्तेमाल कर रहा हूँ
घोषणा के अनुसार मेरी समझ यह है कि app passwords अभी कुछ समय तक बने रहेंगे। लेकिन अगर Google कभी app passwords भी बंद कर देता है, तो OAuth clients को अपने खर्चे पर security assessment करानी पड़ेगी, जिससे GMail पर third-party clients का इस्तेमाल काफ़ी सीमित हो जाएगा
ईमेल अभी भी व्यापक रूप से इस्तेमाल होने वाले आख़िरी “open messaging protocols” में से एक है, और इसमें client चुनने की आज़ादी है; उस दिशा में जाना दुखद होगा
मैं कंपनी में Microsoft के OAuth migration को संभाल रहा हूँ, और यह काफ़ी सिरदर्द रहा है
समस्या का एक हिस्सा यह है कि सब कुछ बहुत अपारदर्शी है। आप token भेजते हैं और server बिना किसी अतिरिक्त व्याख्या के बस “नहीं” कह देता है
मैंने यह पता लगाने में कई दिन लगा दिए कि Client Credentials flow क्यों काम नहीं कर रहा, और आखिरकार help forum के किसी गहरे हिस्से में जवाब मिला: “ओह, client credentials flow अभी supported नहीं है।” अब IMAP/POP पर इसका support है, लेकिन याद पड़ता है कि SMTP पर अभी भी नहीं है। हालांकि SMTP के लिए अभी OAuth अनिवार्य नहीं है
उसके बाद सही scope पता लगाना अगला काम था, और उस समय इसकी documentation भी बहुत अच्छी नहीं थी। server के error messages भी बिल्कुल मददगार नहीं थे
क्या Google के mail servers कुछ बेहतर हैं?
दुर्भाग्य से, server के पास unauthenticated clients को “मददगार” जानकारी देने की गुंजाइश नहीं होती