Update:這篇內容是錯的 (感謝 yan12125),參考「LSAs 與 application password 不同...」這篇的說明。
Hacker News 上看到這個舊資料,Google 在去年九月的公告,將在 2024/09/30 停止支援 application password 的認證方式:「Beginning September 30, 2024: third-party apps that use only a password to access Google Accounts and Google Sync will no longer be supported」。
Google 讓不支援 OAuth 的程式可以用傳統的 username + password 的方式連線,產生一組 application password 讓這些程式使用,這個在 Google 的系統裡被稱作是 Less Secure Apps (LSAs),主要是 protocol-based 的方式:
This includes all third-party apps that require password-only access to Gmail, Google Calendar, Contacts via protocols such as CalDAV, CardDAV, IMAP, SMTP, and POP.
主要的安全性考量應該是在 application password 貼到對應的應用程式這段,會隨著不同的貼法而有資安疑慮。透過非 end-to-end encryption 的 IM 傳輸,那麼 IM 的系統裡面就會有這組 application password 了。
這個計畫在 2019 年宣佈的:「Turning off less secure app access to G Suite accounts」,當時規劃在 2021 年就要執行,不過中間因為 COVID-19 的關係往後延,現在的目標是 2024 年,看起來是差不多了...
看起來這次只有停止支援 Less Secure Apps, application password 還是可以用的。公告中提到:
> If the app you are using does not support OAuth, you will need to switch to an app that offers OAuth or create an app password to access these apps.