05 january 2023
¿Cómo puedo utilizar la contraseña de aplicación OAuth2 con Gmail de Google desde Thunderbird en Ubuntu?
Sometido al ostracismo del exilio, Juan Perón explica cómo activar y utilizar la autenticación de dos pasos OAuth2 de Gmail de Google con Thunderbird en Ubuntu.
(...)
¡Trabajadores!
A partir de este 1 de junio, el oprobio ha caído no sólo sobre nuestra Patria, sino sobre todas las tierras habitadas por los hombres de Bien.
Es que el clásico y eficiente procedimiento de conexión al servidor de correo por usuario y contraseña para utilizar Gmail de Googl€ - permisivo durante mucho tiempo - ha sido invalidado por tal abyecto proveedor de servicios telemáticos.
Lo notaremos ya que nuestros clientes de correo electrónico (Thunderbird y Alpine entre otros), el cliente "nos dejará pagando", y no podremos ingresar. A pesar de que indiquemos la contraseña de usuario, el servicio no podrá establecerse, ni para sincronizar una casilla IMAP y mucho menos una POP3.
Por principio, esto no debe amilanarnos. Existen ya múltiples proveedores libres capaces de ofrecernos correo electrónico, tales como https://riseup.net/, https://autistici.org/ o bien https://mailnesia.com/. Y llegado el caso, podremos hacerlo nosotros mismos.
Ahora bien, podremos seguir utilizando la casilla de correo electrónico sin cifrado que provee Googl€ por medio del procedimiento de autenticación de dos pasos, llamado OAuth. Aún así, debemos considerar gravemente que implica proveer un número de celular (normalmente asociado con un país de residencia). A su vez, la tarea de certificación implicaría utilizar el mismo dispositivo que utilizaremos para conectar el cliente (ya sea móvil o un equipo de escritorio). Esta supuesta mejora en seguridad esconde un elevadísimo riesgo a la privacidad electrónica individual y grupal. En particular, toda actividad de correo quedará asociada a una cuenta y a un dispositivo, y para peor, a uno geográficamente rastreable por medio de metadatos y metrías de conexión inalámbrica por ondas abiertas, las cuales son la forma de utilizar las líneas telefónicas celulares.
Sólo este riesgo cabría describirlo como inaceptable y defectuoso por diseño, por lo cual debemos considerar muy seriamente desechar directamente todo uso de Googl€ y sus servicios de opresión y vasallaje.
Sin embargo, en las condiciones en las cuales necesitemos continuar utilizando tan oprobioso mecanismo para un simple correo electrónico - que puede obtenerse de forma mas segura a través de otros proveedores menos invasivos que Googl€ - podremos continuar utilizandolo activando el proceso OAuth2.
En primer lugar en nuestro cliente Thunderbird debemos presionar el botón ≡ y verificar las Preferencias Generales de nuestro cliente de correo electrónico. Para ello vamos a Preferencias y en la ventana elegimos el apartado Privacía y Seguridad. En el apartado Contenido Web normalmente estará tildada la opción la opción Aceptar Cookies de los sitios (opción por defecto.
Sin embargo, podría suceder que querramos destildar esta opción, para evitar absolutamente descarga de cookies por un cliente de correo electrónico.
Si no deseamos Aceptar Cookies de los Sitios, a partir del 1 de junio de 2022 deberíamos utilizar método de OAuth2 para poder acceder desde aplicaciones.
Podremos aceptar todas las cookies (no recomendado), o crear una excepción a la cookie de Google. Para hacer este temperamento, presionamos el botón Excepciones...
En el campo Dirección del Sitio Web del cuadro de diálogo de Cookies - Excepciones, ingresamos la URL https://accounts.google.com y presionamos el botón Permitir.
Una vez que el sitio esté agregado, presionamos Guardar Cambios.
Crear contraseña para aplicación
Pues bien señores, cada aplicación podrá recibir una contraseña pasavante de 16 cifras - creada al azar por Googl€ - que puede emplearse para autorizar la recepción y envío de correo electrónico. Tal método nos permitirá reutilizar el correo electrónico Google IMAP a través de los clientes como Thunderbird y mi favorito, el Alpine.
Es importante recalcar que esta contraseña pasavante sólo cobra utilidad para el servicio de correo Gmail, y no equivale a la del usuario de Googl€. Antiguamente, utilizábamos la contraseña de usuario de Googl€ para "entrar al mail", lo que a partir de ahora no tiene más efecto. La contraseña pasavante para la aplicación de correo puede guardarse en el llavero de contraseñas de Ubuntu, ya que permanece asociada al dispositivo (lo cual nos salva de tener que recordar una contraseña alfanumérica difícil). Es sabido mi recomendación de guardarla en algún medio seguro, entendiendo por esto en un registro papel físicamente protegido.
Para crear la contraseña pasavante, utilizamos un navegador certificado (Firefox funciona bien) desde el mismo dispositivo donde tenemos el cliente. Iremos a las opciones de la cuenta de Google, y generaremos una clave.
Para ello nos damos de alta al usuario de Google, y hacemos clic en el avatar de usuario, seleccionamos la opción "Gestionar tu cuenta de Googl€".
En la web de gestión, seleccionamos el apartado Seguridad, y activamos la sección Verificación de dos pasos. El procedimiento implicará dotar un número de teléfono móvil.
En mi caso denunciaré una línea celular de un proveedor móvil que ya no existe, instalada en un móvil obsoleto que descartaré.
Conforme se ha activado la Verificación de dos pasos, crearemos una contraseña pasavante de aplicación para los clientes de correo de Linux.
Para ello seleccionamos el apartado Contraseñas de Aplicaciones. En el selector desplegable Seleccionar Aplicación elegimos "Correo", y en el selector desplegable Seleccionar Dispositivo será necesario escoger "Otra (nombre personalizado)".
Le damos un nombre de dispositivo (por ejemplo, "Correo IMAP desde Linux") y presionamos el botón Generar.
El sistema OAuth enviará un código de verificación al teléfono móvil sosías, y al introducir el mismo en la web de autenticación de Googl€, se generará un código de contraseña de aplicación (pasavante) de 16 caracteres para la función de correo IMAP de Gmail.
Al mismo tiempo, debería arribar una notificación a la casilla de correo electrónico indicando que "se ha creado una contraseña de aplicación para iniciar sesión en tu cuenta".
Podrás utilizar ahora esta contraseña pasavante asociada a tu usuario de correo electrónico Gmail desde Thunderbird o bien otros clientes compatibles con OAuth2 desde Linux (por ejemplo, funciona también con Alpine).
Cuando aparezca ahora el diálogo de la contraseña, ingresamos la contraseña de 16 dígitos creada en Googl€.
Una vez provista dicha contraseña pasavante, los clientes de correo deberían poder recibir correos y a su vez enviar mensajes. Deberían comprobar el correcto envío y recepción de correo electrónico desde dicha casilla de correo. También podrán agregar dicha contraseña pasavante al Gestor de Contraseñas de Ubuntu ("llavero"), de modo de no tener que ingresarlas toda vez que iniciemos sesión en el escritorio de Ubuntu.
Naturalmente han de notar que una vez que activado el proceso OAuth de la cuenta Google, podríamos nuevamente desactivar las Cookies en Thunderbird, porque recibir y enviar correo electrónico funcionará sin las cookies. Sin embargo, he de decirles que en caso de que el token OAuth de Gmail expirara (en algún momento futuro), el cuadro de diálogo aparecería nuevamente y habremos de generar otra contraseña pasavante.
En conclusión, Googl€ se encarga de erosionar el uso de sus servicios si no proveemos información que les permita el rastreo. No debe usarse este sistema y debe desechárselo en lo posible.