¿Por qué Google llama a Thunderbird "menos seguro"?

Todavía no he tenido problemas al usar Gmail con Thunderbird, pero al intentar usar un cliente de software gratuito para Google Talk / Chat / Hangout descubrí que, según el documento de Google sobre "aplicaciones menos seguras" :

Algunos ejemplos de aplicaciones que no admiten los últimos estándares de seguridad incluyen clientes [...] de correo de escritorio como Microsoft Outlook y Mozilla Thunderbird.

Google luego ofrece un cambio de cuenta seguro o no seguro todo o nada ("Permitir aplicaciones menos seguras").

¿Por qué Google dice que Thunderbird "no es compatible con los últimos estándares de seguridad"? ¿Google intenta decir que los protocolos estándar como IMAP, SMTP y POP3 son formas "menos seguras" de acceder a un buzón? ¿Están tratando de decir que el uso que los usuarios hacen de ese software pone en riesgo sus cuentas? ¿O que?

El Informe de Vulnerabilidad de Secunia : Mozilla Thunderbird 24.x (¿dónde está 31?) Dice «Sin parchear 11% (1 de 9 avisos de Secunia) [...] El aviso de Secunia más severo sin parche que afecta a Mozilla Thunderbird 24.x, con todos los parches de proveedores aplicados , está calificado como Altamente crítico », aparentemente SA59803 .

Actualización 2 : a partir de 2018, Google dobla al enviar mensajes para invitar a deshabilitar el acceso "menos seguro":

Actualización : OAuth2 está disponible en Thunderbird 38, con más correcciones en versiones posteriores, y el error 849540 se ha cerrado. Todavía no tengo claros los objetivos de todo este circo.

— Nemo
fuente

Problema relevante de Bugzilla.

— Bob

Si tiene habilitada la autenticación de dos factores en la cuenta, puede generar una contraseña específica de la aplicación para Thunderbird.

— Ry-

Esto realmente requiere la respuesta "Porque Google está equivocado".

— Joshua

Relacionado con Security.SE: ¿Cuáles son los peligros de permitir que "aplicaciones menos seguras" accedan a mi cuenta de Google? (Creo que la práctica de dejar que terceros vean sus credenciales es bastante llama "menos seguro", pero es totalmente claro para mí qué beneficios de seguridad de Google da al negar la autenticación después de que ya hemos regalado sus credenciales.)

— apsillers

Respuestas:

Es porque esos clientes (actualmente) no son compatibles con OAuth 2.0 .

... a partir del segundo semestre de 2014, comenzaremos a aumentar gradualmente las comprobaciones de seguridad realizadas cuando los usuarios inicien sesión en Google. Estas verificaciones adicionales asegurarán que solo el usuario previsto tenga acceso a su cuenta, ya sea a través de un navegador, dispositivo o aplicación. Estos cambios afectarán a cualquier aplicación que envíe un nombre de usuario y / o contraseña a Google.

Para proteger mejor a sus usuarios, le recomendamos que actualice todas sus aplicaciones a OAuth 2.0. Si elige no hacerlo, sus usuarios deberán tomar medidas adicionales para seguir accediendo a sus aplicaciones.

...

En resumen, si su aplicación actualmente utiliza contraseñas simples para autenticarse en Google, le recomendamos encarecidamente que minimice la interrupción del usuario al cambiar a OAuth 2.0.

Fuente: "Nuevas medidas de seguridad afectarán a aplicaciones antiguas (que no sean OAuth 2.0)" - Blog de seguridad en línea de Google

— Ƭᴇcʜιᴇ007
fuente

El problema no es realmente la seguridad, es el control de calidad para la minería de datos. La seguridad real sería evitar que Google extraiga sus datos personales.

— fijador1234

@ fixer1234 Personalmente, creo que se trata más de que Google quiera forzar la participación de un navegador web (segundo paso en la autenticación), con la esperanza de que eventualmente le moleste usar solo el cliente de correo web (Google). ;)

— Ƭᴇcʜιᴇ007

@Nemo "Contraseñas simples" no se refiere a si las contraseñas están cifradas en tránsito, sino a si la aplicación de terceros (en este caso, Thunderbird) tiene acceso a la contraseña de su cuenta de Google de texto sin formato. Con OAuth, no lo hace. Dependiendo de cuán segura y cuán confiable sea la aplicación de terceros, si almacena o no su contraseña de texto sin formato podría ser un problema crítico de seguridad.

— Ajedi32

Ajedi32, entiendo lo que significan, pero la terminología no está clara. En esta respuesta, es técnicamente correcto, pero en mi humilde opinión no es satisfactorio. ¿Qué sentido tiene declarar que las "aplicaciones menos seguras" para acceder a Gmail incluyen Thunderbird, pero no los navegadores web que la mayoría de las veces almacenan contraseñas, a veces ni siquiera encriptadas?

— Nemo

OAuth es más seguro porque solo necesita descifrar el llavero (es decir, las contraseñas en texto plano) durante un período muy corto mientras autoriza al agente de correo, esto es cierto tanto si realiza la autenticación en el navegador como si el software de correo en sí es compatible con OAuth incorporado autorización. Si el software de correo no usa OAuth, necesitará el llavero desbloqueado prácticamente todo el tiempo, lo que anulará el propósito del cifrado (también su contraseña está en riesgo cada vez que suspende o hiberna la computadora con el llavero desbloqueado).

— Lie Ryan

A partir de Thunderbird 38 OAuth 2.0 es compatible, consulte https://support.mozilla.org/en-US/kb/thunderbird-and-gmail y https://support.mozilla.org/en-US/kb/thunderbird- y-gmail

Nota : Si tiene una cuenta de gmail existente en Thunderbird, debe cambiar el método de autenticación en la configuración de su cuenta:

Para IMAP en la configuración de la cuenta GMail> Configuración del servidor> Método de autenticación: "OAuth2"

y para SMTP (envío) hay una configuración separada, elija Google Mail (smtp.googlemail.com)> Editar método de autenticación nuevamente en OAuth2 .

(Bueno, también puede eliminar su cuenta de GMail y crear una nueva).

— Pedi T.
fuente

¿Sigue siendo un protocolo abierto y estándar? ¿Cuántos clientes de correo electrónico lo admiten? ¿Cuáles son sus beneficios de seguridad? (Su respuesta es buena, pero hasta que vea tales puntos abordados, no considero resuelta la pregunta original).

— Nemo

Bueno, no tengo idea de qué problemas de seguridad tienen las otras opciones de autenticación, aunque estoy interesado. Solo buscaba una solución práctica para poder seguir usando TB con GMail y evitar este mensaje de advertencia :-)

— Pedi T.