viernes, 3 de junio de 2022

¿Cómo puedo utilizar la contraseña de aplicación OAuth2 con Gmail de Google desde Thunderbird en Ubuntu?

Sometido al ostracismo del exilio, Juan Perón explica cómo activar y utilizar la autenticación de dos pasos OAuth2 de Gmail de Google con Thunderbird en Ubuntu.

(...)

¡Trabajadores!

A partir de este 1 de junio, el oprobio ha caído no sólo sobre nuestra Patria, sino sobre todas las tierras habitadas por los hombres de Bien.

Es que el clásico y eficiente procedimiento de conexión al servidor de correo por usuario y contraseña para utilizar Gmail de Googl€ - operativo durante mucho tiempo - ha sido invalidado por tal abyecto proveedor de servicios telemáticos.

Lo notaremos ya que nuestros clientes de correo electrónico (Thunderbird, Alpine y otros), se atascará, y el servidor de correo nos solicitará nuestra contraseña de usuario a tonas y a locas , ni para sincronizar una casilla IMAP y mucho menos una POP3.

Por principio, esto no debe amilanarnos, ya que existen múltiples proveedores libres capaces de ofrecernos correo electrónico, tales como https://riseup.net/, https://autistici.org/ o bien https://mailnesia.com/. Hasta llegado el caso, podríamos hacerlo nosotros mismos.

Ahora bien, podremos seguir utilizando la casilla de correo electrónico sin cifrado que provee Googl€ por medio del procedimiento de autenticación de dos pasos, llamado OAuth. Aún así, debemos considerar gravemente que implica proveer un número de celular (normalmente asociado con un país de residencia). A su vez, la tarea de certificación implicaría utilizar el mismo dispositivo que utilizaremos para conectar el cliente (ya sea móvil o un equipo de escritorio). Esta supuesta mejora en seguridad esconde un elevadísimo riesgo a la privacidad electrónica individual y grupal. En particular, toda actividad de correo quedará asociada a una cuenta y a un dispositivo - y para peor - a uno geográficamente rastreable por medio de metadatos y metrías de conexión inalámbrica por ondas abiertas (pues de este modo operan las líneas telefónicas celulares).

Este riesgo cabría describirlo como inaceptable y defectuoso por diseño, por lo cual debemos considerar muy seriamente desechar directamente todo uso de Googl€ y sus servicios de opresión y vasallaje.

Sin embargo, en las condiciones en las cuales necesitemos continuar utilizando tan oprobioso mecanismo para un simple correo electrónico - que puede obtenerse de forma mas segura a través de otros proveedores menos invasivos que Googl€ - podríamos continuar utilizándolo activando el proceso OAuth2.

En primer lugar en nuestro cliente Thunderbird debemos presionar el botón y verificar las Preferencias Generales de nuestro cliente de correo electrónico. Para ello vamos al menú Preferencias y en la ventana elegimos el apartado  Privacía y Seguridad. La sección Contenido Web estará tildada por defecto la opción  Aceptar Cookies de los sitios.

Normalmente querríamos destildar esta opción, para evitar absolutamente descarga de cookies por un cliente de correo electrónico, atentos a que si no deseamos Aceptar Cookies de los Sitios, a partir del 1 de junio de 2022 deberíamos utilizar método de OAuth2 para poder acceder desde aplicaciones.

Para ello creareemos una excepción para la cookie de Googl€. Para hacer este temperamento, hacemos clic en el botón Excepciones...

En el campo Dirección del Sitio Web del cuadro de diálogo de Cookies - Excepciones, ingresamos la URL https://accounts.google.com y presionamos el botón Permitir

 Una vez que el sitio esté agregado, presionamos Guardar Cambios.

Crear contraseña para aplicación

Pues bien señores, cada aplicación podrá recibir una contraseña pasavante de 16 cifras - creada al azar por Googl€ - que puede emplearse para autorizar la recepción y envío de correo electrónico. Tal método nos permitirá reutilizar el correo electrónico Googl€ IMAP a través de los clientes como Thunderbird y mi favorito, el Alpine.

Es importante recalcar que esta contraseña pasavante sólo cobra utilidad para el servicio de correo Gmail, y no equivale a la del usuario de Googl€. Antiguamente, utilizábamos la contraseña de usuario de Googl€ para "entrar al mail", lo que a partir de ahora no tiene más efecto. La contraseña pasavante para la aplicación de correo puede guardarse en el llavero de contraseñas de Ubuntu, ya que permanece asociada al dispositivo (lo cual nos salva de tener que recordar una contraseña alfanumérica difícil). Es sabido mi recomendación de guardarla en algún medio seguro, entendiendo por esto en un registro papel físicamente protegido.

Para crear la contraseña pasavante, utilizamos un navegador certificado (Firefox funciona bien) desde el mismo dispositivo donde tenemos el cliente. Iremos a las opciones de la cuenta de Google, y generaremos una clave.

Para ello nos damos de alta al usuario de Google, y hacemos clic en el avatar de usuario, seleccionamos la opción "Gestionar tu cuenta de Googl€".

En la web de gestión, seleccionamos el apartado Seguridad, y activamos la sección Verificación de dos pasos. El procedimiento implicará dotar un número de teléfono móvil.

Si no desean hacer esto, bien pueden utilizar un servicio de SMS temporal con un número telefónico pasavante anónimo desde la web, tal como https://www.receivesms.org


En el caso de este servicio, han de seleccionar un país pasavante (naturalmente, no el propio), y luego un numero de teléfono celular pasavante que le darán a Googl€ para que les envíe el SMS, y presionamos el botón: Read SMS. Al cabo de unos segundos veremos el código pasavante, que empieza con una G- y una serie de pocos números que la componen. Con este código podremos crearemos una contraseña pasavante de aplicación para los clientes de correo de Linux. 

Para ello seleccionamos el apartado Contraseñas de Aplicaciones. En el selector desplegable Seleccionar Aplicación elegimos "Correo", y en el selector desplegable Seleccionar Dispositivo será necesario escoger "Otra (nombre personalizado)".

Le damos un nombre de dispositivo (por ejemplo, "Correo IMAP desde Linux") y presionamos el botón Generar.

El sistema OAuth enviará un código de verificación al teléfono móvil sosías, y al introducir el mismo en la web de autenticación de Googl€, se generará un código de contraseña de aplicación (pasavante) de 16 caracteres para la función de correo IMAP de Gmail.

Al mismo tiempo, debería arribar una notificación a la casilla de correo electrónico indicando que "se ha creado una contraseña de aplicación para iniciar sesión en tu cuenta".

Podrás utilizar ahora esta contraseña pasavante asociada a tu usuario de correo electrónico Gmail desde Thunderbird o bien otros clientes compatibles con OAuth2 desde Linux (por ejemplo, funciona también con Alpine).

Cuando aparezca ahora el diálogo de la contraseña, ingresamos la contraseña de 16 dígitos creada en Googl€

Una vez provista dicha contraseña pasavante, los clientes de correo deberían poder recibir correos y a su vez enviar mensajes. Deberían comprobar el correcto envío y recepción de correo electrónico desde dicha casilla de correo. También podrán agregar dicha contraseña pasavante al Gestor de Contraseñas de Ubuntu ("llavero"), de modo de no tener que ingresarlas toda vez que iniciemos sesión en el escritorio de Ubuntu.

Conforme se ha activado la Verificación de dos pasos, tendremos la posibilidad opcional de agregar una App de autenticador para smartphones. Yo no lo haré pues no puedo utilizarlos a no tener manos, pero quien así lo desee puede utilizar la App gratuita Aegis, disponible en F-droid, solo tienen que escanear desde la App un Código QR, guardar la cuenta y luego ingresar dicho Código aleatorio que recibido por Aegis para finalizar el procedimiento. Acto seguido estarán en condiciones de eliminar opcionalmente el numero de teléfono celular pasavante ingresado previamente.

Naturalmente han de notar que una vez que activado el proceso OAuth de la cuenta Google, podríamos nuevamente desactivar las Cookies en Thunderbird, porque recibir y enviar correo electrónico funcionará sin las cookies. Sin embargo, he de decirles que en caso de que el token OAuth de Gmail expirara (en algún momento futuro), el cuadro de diálogo aparecería nuevamente y habremos de generar otra contraseña pasavante.

En conclusión, Googl€ se encarga de erosionar el uso de sus servicios si no proveemos información que les permita el rastreo. No debe usarse este sistema y debe desechárselo en lo posible.

1 comentario:

  1. ¡Gracias General! Me salió esto y no sabía como sacarlo para poder entrar al gmail. Lo uso hace mucho, me da lástima borrar la cuenta ya.

    ResponderEliminar