Printable is bad.のコメント: OAuth 2.0 に対応していないと 「安全性の低いアプリ」 と扱われます (スコア 5, 参考になる) 29
今時ローカルにメールを落とす
メールクライアント使いも珍しいでしょうから
基本的には設定は有効の方がいいんでしょうね
Google は、RFC 6749 の OAuth 2.0 Authorization に対応していないアプリを「安全性の低いアプリ」 として扱っているのであって、ローカルにメールを落とすメールクライアント(一般の MUA)を全部危険扱いしているわけではないです。
Google のヘルプの 安全性の低いアプリがアカウントにアクセスするのを許可する には、「Google では、最新のセキュリティ標準に対応していないアプリや端末からのログイン操作をブロックする場合があります。」と曖昧な表現がされていて、何のことだか分かり分かり難いですし、一般向けへの周知については不十分だと思います。
Google様としてはBecky! Internet Mailも安全性の低いアプリらしい
私も、Becky! Ver.2 を愛用していますが、パスワードをコンピュータ上に保存するのは前時代的であって「安全性が低い」と思います。
ログイン時に TLS で暗号化通信を行えば通信経路でパスワードが漏えいすることは防げますが、なんらかの原因で Becky! の ini ファイルに保存されたパスワードが漏えいした場合に他の Google サービスまでもが悪用されてしまう恐れがあるため、OAuth 2.0 認証に比べて格段に安全性が低いと言えます。
他のメーラーですと、Mozilla Thunderbird 38.0.1 以上は OAuth 2.0 認証に対応している ようです。
OAuth 2.0 に対応しているメーラーの場合には、パスワードは初回設定時に Google のサーバに送信されるだけでコンピュータ上には保存されませんし、メールクライアントに保存されたアクセストークン(自動的に生成される十分な強度をもったランダムな英数字)が漏えいしたとしても、アクセス権を与えたメールサービス以外のGoogleサービスが悪用されることもありませんし、Google アカウントの管理画面から個別のアクセストークン(アクセス権)のみを無効化することもできます。
OAuth 2.0 は、従来のパスワード認証よりも安全性が高い仕組みであって、全てのアプリが採用することで、パソコン・タブレット・スマホなどの紛失・盗難時や、データの抹消が完璧にできないので初期化のみを行った携帯端末の中古販売や所有者変更などに、パスワードを変更する必要がなくなる(当該端末・アプリのアクセストークンを個別に無効化するだけですむ)ので、利便性も高いです。
今回の Google のセキュリティ診断では、日本ではサービス提供側がよく要求する「パスワードの定期的な変更」を要求してきませんでした。これも Google のセキュリティポリシーの素晴らしい点だと思います。
# Google のプライバシーポリシーは嫌いですが、Google のセキュリティポリシーは大好きです。