Google Workspace perketat kebijakan keamanan kata sandi

Google secara resmi mengumumkan perubahan besar dalam kebijakan keamanan Google Workspace, yang akan segera menghentikan dukungan untuk Aplikasi Kurang Aman (Less Secure Apps/LSA). Langkah ini diambil guna meningkatkan perlindungan akun pengguna dari potensi akses tidak sah, terutama akibat berbagi kredensial dengan aplikasi pihak ketiga.

Dilansir dari Cybersecurity News (2/10), LSA merupakan aplikasi yang mengharuskan pengguna membagikan nama pengguna dan kata sandi akun Google mereka kepada layanan pihak ketiga. Menurut pernyataan Google, hal ini meningkatkan risiko keamanan, karena membuka peluang bagi aktor jahat untuk mencuri kredensial dan mendapatkan akses ilegal ke akun pengguna.

"LSA menempatkan pengguna pada risiko yang lebih tinggi, karena berbagi kredensial akun dengan aplikasi pihak ketiga dapat memperbesar peluang terjadinya pelanggaran keamanan," demikian pernyataan resmi dari Google.

Google telah merilis jadwal perubahan terkait kebijakan ini, dengan beberapa tahapan kunci:

• 15 Juni 2024: Pengaturan LSA akan dihapus dari konsol Admin Google Workspace, dan pengguna tidak akan lagi dapat mengaktifkan IMAP di pengaturan Gmail mereka. Selain itu, pengguna baru tidak akan dapat terhubung ke layanan melalui Google Sync.

• 30 September 2024: Akses ke LSA akan sepenuhnya dihentikan untuk semua akun Google Workspace. Aplikasi dan perangkat yang menggunakan protokol seperti IMAP, POP, CalDAV, dan CardDAV harus beralih ke autentikasi OAuth. Pengguna yang masih menggunakan Google Sync akan kehilangan akses.

Perubahan ini akan mempengaruhi seluruh pengguna dan administrator Google Workspace. Pengguna harus segera beralih ke metode autentikasi yang lebih aman, seperti OAuth, untuk tetap bisa mengakses layanan Google Workspace dari aplikasi atau perangkat pihak ketiga. 

Administrator sistem juga diharapkan segera menginformasikan kepada pengguna mereka dan mempersiapkan proses transisi ini dengan baik. Langkah-langkah yang direkomendasikan Google meliputi:

1.  Mengedukasi pengguna mengenai perubahan ini.
2.  Membimbing pengguna untuk beralih ke aplikasi atau layanan yang mendukung autentikasi OAuth.
3.  Meninjau kembali pengaturan Manajemen Perangkat Seluler (MDM) agar sesuai dengan kebijakan baru.

Untuk aplikasi email, Google menyarankan pengguna untuk beralih ke Microsoft 365 atau versi terbaru dari Microsoft Outlook yang mendukung OAuth. Pengguna juga dapat menggunakan Google Workspace Sync untuk Microsoft Outlook atau mengonfigurasi ulang klien email agar kompatibel dengan IMAP berbasis OAuth.

Sementara itu, untuk aplikasi kalender dan kontak, pengguna diharapkan beralih ke aplikasi Google Calendar dan memastikan akun mereka terhubung dengan autentikasi OAuth pada perangkat iOS dan macOS.

Pengembang aplikasi pihak ketiga yang selama ini bergantung pada LSA harus segera melakukan pembaruan pada produk mereka agar mendukung OAuth 2.0. Google juga telah menyediakan panduan teknis bagi pengembang yang ingin menyesuaikan aplikasinya dengan perubahan ini.

Perubahan kebijakan ini menunjukkan komitmen Google untuk terus memperkuat keamanan pengguna, sekaligus meminimalisir risiko akses tidak sah yang disebabkan oleh penggunaan kata sandi dalam bentuk tradisional.