Para aumentar la seguridad de las cuentas de los usuarios de Google, los tokens de OAuth 2.0 emitidos para acceder a ciertos productos se revocan automáticamente cuando se cambia la contraseña de un usuario. Las apps de correo de terceros, como Apple Mail y Mozilla Thunderbird, así como otras aplicaciones que usan permisos de correo electrónico para acceder al correo de un usuario, dejarán de sincronizar datos cuando se restablezca la contraseña hasta que se otorgue un nuevo token de OAuth 2.0. Se otorgará un token nuevo cuando el usuario se vuelva a autenticar con su nombre de usuario y contraseña de la Cuenta de Google.
Los cambios en esta política también incluyen las aplicaciones de correo de terceros para dispositivos móviles. Por ejemplo, los usuarios que usan la aplicación de correo nativa en iOS ahora deberán volver a autenticarse con las credenciales de su Cuenta de Google cuando se cambie la contraseña. Este nuevo comportamiento de las apps de correo de terceros en dispositivos móviles se alinea con el comportamiento actual de Gmail en iOS y Android, que también requiere una nueva autenticación después de restablecer la contraseña.
El proceso de revocación de tokens no incluye las aplicaciones creadas con Apps Script, incluso si la secuencia de comandos accede al correo.
Notas:
- Si el cambio de contraseña se activa desde un dispositivo Android, no se revoca el token de OAuth para la sincronización de la cuenta que usa este dispositivo Android.
- Las sesiones de IMAP de Gmail autenticadas con OAuth no se ven afectadas por un cambio de contraseña, pero se limitan al período de validez del token de acceso (por lo general, 1 hora).
Preguntas
¿Cómo afecta este cambio a las aplicaciones que usan una contraseña de la aplicación si la verificación en 2 pasos está habilitada?
Actualmente, no hay impacto. Anunciaremos cualquier cambio en el tratamiento de las contraseñas de aplicaciones cuando se produzcan.
¿Cuándo se revocan los tokens, cuando vence la contraseña o cuando se cambia?
Los tokens se revocan cuando se cambia la contraseña.
¿El cambio de contraseña también invalida los tokens de acceso y los tokens de actualización?
Sí, el cambio de contraseña también invalida los tokens de acceso y los tokens de actualización.
Tenemos una secuencia de comandos personalizada que establece la misma contraseña para un usuario varias veces. ¿Se revocará el token de activación?
Si esto se hace a través de la actualización de usuarios de la API de Directory y la misma contraseña se codifica con la misma función, esto no se tratará como un cambio de contraseña y, por lo tanto, no se deben revocar los tokens.
Nota: Si usas una función hash que acepta una sal, asegúrate de usar la misma sal para cada actualización. Esto garantiza que la actualización no se trate como un cambio de contraseña.
¿Cómo afecta este cambio al parámetro de configuración de Apps menos seguras?
El parámetro de configuración Apps menos seguras no tendrá ningún impacto en la revocación de tokens cuando se cambie la contraseña.
Google, Google Workspace y las marcas y los logotipos relacionados son marcas comerciales de Google LLC. Todos los demás nombres de productos y empresas son marcas comerciales de las empresas con las que se encuentran asociados.