För att öka kontosäkerheten för Google-användare återkallas OAuth 2.0-tokens som utfärdats för åtkomst till vissa produkter automatiskt när en användares lösenord ändras. E-postappar från tredje part, som Apple Mail och Mozilla Thunderbird – liksom andra program som använder e-postomfång för att komma åt en användares e-post – kommer att sluta synkronisera data efter lösenordsåterställning tills en ny OAuth 2.0-token har beviljats. En ny token beviljas när användaren autentiserar sig på nytt med sitt användarnamn och lösenord för Google-kontot.
E-postappar från tredje part på mobilen ingår också i denna policyändring. Till exempel måste användare som använder den inbyggda e-postappen på iOS nu autentisera om sig med sina Google-kontouppgifter när deras lösenord har ändrats. Detta nya beteende för e-postappar från tredje part på mobilen överensstämmer med det nuvarande beteendet med Gmail på iOS och Android, som också kräver omautentisering vid lösenordsåterställning.
Återkallningsprocessen för token inkluderar inte appar som är byggda på Apps Script, även om skriptet har åtkomst till e-post.
Anteckningar:
- Om lösenordsändringen utlöses från en Android-enhet återkallas inte OAuth-token för kontosynkroniseringen som används av den här Android-enheten.
- Gmail IMAP-sessioner som autentiserats med OAuth påverkas inte av ett lösenordsbyte, men är begränsade till åtkomsttokenets giltighetstid (vanligtvis 1 timme).
Frågor
Hur påverkar den här ändringen appar som använder ett applösenord om tvåstegsverifiering är aktiverad?
För närvarande finns det ingen påverkan. Vi kommer att meddela eventuella ändringar i hanteringen av applösenord när de sker.
När återkallas tokens, när lösenordet löper ut eller lösenordet byts?
Tokens återkallas vid lösenordsändring.
Ogiltigförklarar en lösenordsändring både åtkomsttokens och uppdateringstokens?
Ja, lösenordsändringen ogiltigförklarar både åtkomsttokens och uppdateringstokens.
Vi har ett anpassat skript som ställer in samma lösenord för en användare flera gånger. Kommer detta att utlösa återkallelse av token?
Om detta görs via användaruppdateringen av Directory API, och samma lösenord hashas via samma funktion, kommer detta inte att behandlas som en lösenordsändring, och därför bör tokens inte återkallas.
Obs ! Om du använder en hashfunktion som accepterar salt, se till att använda samma salt för varje uppdatering. Detta säkerställer att uppdateringen inte behandlas som en lösenordsändring.
Hur påverkar den här ändringen inställningen Mindre säkra appar ?
Inställningen Mindre säkra appar kommer inte att ha någon inverkan på om tokens återkallas vid lösenordsändring.
Google, Google Workspace och relaterade varumärken och logotyper är varumärken som tillhör Google LLC. Alla andra företags- och produktnamn är varumärken som tillhör de företag som de är associerade med.