Um die Kontosicherheit für Google-Nutzer zu erhöhen, werden für den Zugriff auf bestimmte Produkte ausgestellte OAuth 2.0-Tokens automatisch widerrufen, wenn das Passwort eines Nutzers geändert wird. Die Synchronisierung von Daten in E‑Mail-Apps von Drittanbietern wie Apple Mail oder Mozilla Thunderbird wird erst dann fortgesetzt, wenn ein neues OAuth 2.0-Token erstellt wurde. Das gilt auch für andere Anwendungen, die E‑Mail-Bereiche verwenden, um auf die E‑Mails eines Nutzers zuzugreifen. Ein neues Token wird erstellt, wenn sich der Nutzer wieder mit seinem Nutzernamen und dem Passwort im Google-Konto authentifiziert.
Diese Richtlinienänderung betrifft auch E-Mail-Apps von Drittanbietern auf Mobilgeräten. Nutzer, die beispielsweise die native Mail-App unter iOS verwenden, müssen sich jetzt mit ihren Google-Kontoanmeldedaten neu authentifizieren, wenn ihr Passwort geändert wurde. Dieses neue Verhalten für Drittanbieter-E-Mail-Apps auf Mobilgeräten entspricht dem aktuellen Verhalten von Gmail unter iOS und Android, bei dem nach dem Zurücksetzen des Passworts ebenfalls eine erneute Authentifizierung erforderlich ist.
Der Prozess zum Widerrufen von Tokens umfasst keine Anwendungen, die auf Apps Script basieren, auch wenn das Skript auf E-Mails zugreift.
Hinweise:
- Wenn die Passwortänderung von einem Android-Gerät aus erfolgt, wird das OAuth-Token für die Kontosynchronisierung, die von diesem Android-Gerät verwendet wird, nicht widerrufen.
- Gmail-IMAP-Sitzungen, die mit OAuth authentifiziert werden, sind von einer Passwortänderung nicht betroffen, sind aber auf den Gültigkeitszeitraum des Zugriffstokens (in der Regel 1 Stunde) beschränkt.
Fragen
Wie wirkt sich diese Änderung auf Anwendungen mit einem App-Passwort aus, wenn die Bestätigung in zwei Schritten aktiviert ist?
Zurzeit gibt es keine Auswirkungen. Sobald Änderungen im Hinblick auf App-Passwörter auftreten, werden wir sie bekanntgeben.
Wann werden die Tokens widerrufen? Beim Ablauf oder bei der Änderung des Passworts?
Die Tokens werden bei der Änderung des Passworts widerrufen.
Werden durch eine Passwortänderung Zugriffstokens und Aktualisierungstokens ungültig?
Ja, durch die Passwortänderung werden sowohl Zugriffstokens als auch Aktualisierungstokens ungültig.
Wir haben ein benutzerdefiniertes Skript, durch das dasselbe Passwort mehrmals für einen Nutzer festgelegt wird. Wird dadurch ein Widerruf des Tokens ausgelöst?
Wenn dies über die Nutzeraktualisierung der Directory API ausgeführt wird und das gleiche Passwort über die gleiche Funktion mit einem Hash versehen wird, wird dies nicht als Passwortänderung angesehen und diese Tokens sollten nicht widerrufen werden.
Hinweis: Wenn Sie eine Hash-Funktion verwenden, die einen Salt akzeptiert, müssen Sie für jedes Update denselben Salt verwenden. So vermeiden Sie, dass die Aktualisierung als Passwortänderung eingestuft wird.
Wie wirkt sich die Änderung auf die Einstellung Weniger sichere Apps aus?
Die Einstellung Weniger sichere Apps hat keine Auswirkungen auf Tokens, die nach einer Passwortänderung widerrufen werden.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.