Para aumentar a segurança da conta dos usuários do Google, os tokens OAuth 2.0 emitidos para acesso a determinados produtos são revogados automaticamente quando a senha de um usuário é alterada. Apps de e-mail de terceiros, como o Apple Mail e o Mozilla Thunderbird, e outros aplicativos que usam escopos de e-mail para acessar o e-mail de um usuário vão parar de sincronizar os dados após a redefinição de senha até que um novo token OAuth 2.0 seja concedido. Um novo token será concedido quando o usuário fizer a autenticação novamente com o nome de usuário e a senha da Conta do Google.
Os aplicativos de e-mail de terceiros também estão incluídos nesta alteração de política. Por exemplo, os usuários que usam o aplicativo de e-mail nativo no iOS agora precisam fazer a autenticação novamente com as credenciais da Conta do Google quando a senha é alterada. Esse novo comportamento para apps de e-mail de terceiros em dispositivos móveis está alinhado ao comportamento atual do Gmail no iOS e no Android, que também exige reautenticação após a redefinição de senha.
O processo de revogação de token não inclui aplicativos criados no Apps Script, mesmo que o script acesse e-mails.
Observações:
- Se a mudança de senha for acionada em um dispositivo Android, o token do OAuth para a sincronização de conta usada por esse dispositivo Android não será revogado.
- As sessões IMAP do Gmail autenticadas usando OAuth não são afetadas por uma mudança de senha, mas são limitadas ao período de validade do token de acesso (geralmente uma hora).
Dúvidas
Como essa alteração impacta os aplicativos que usam senha de app se a verificação em duas etapas estiver ativada?
Atualmente, não há impacto. Anunciaremos as alterações no tratamento de senhas de app quando elas ocorrerem.
Os tokens são revogados depois que a senha expira ou depois que a senha é alterada?
Os tokens são revogados depois da alteração da senha.
Uma alteração da senha invalida os tokens de acesso e os tokens de atualização?
Sim, a alteração da senha invalida os tokens de acesso e os de atualização.
Temos um script personalizado que define a mesma senha para um usuário várias vezes. Isso causará a revogação do token?
Se isso for feito por meio da atualização dos usuários da Directory API, e a mesma senha for embaralhada pela mesma função, a ação não será tratada como uma mudança de senha, e os tokens não serão revogados.
Observação: se você estiver usando uma função de hash que aceita um salt, use o mesmo salt em todas as atualizações. Isso garante que a atualização não seja tratada como uma mudança de senha.
Como essa alteração afeta a configuração Aplicativos menos seguros?
A configuração Aplicativos menos seguros não afeta os tokens revogados após a alteração da senha.
Google, Google Workspace e marcas e logotipos relacionados são marcas registradas da Google LLC. Todos os outros nomes de empresas e produtos são marcas registradas das empresas às quais estão associados.