Um die Kontosicherheit für Google-Nutzer zu erhöhen, werden für den Zugriff auf bestimmte Produkte ausgestellte OAuth 2.0-Tokens automatisch widerrufen, wenn das Passwort eines Nutzers geändert wird. Die Synchronisierung von Daten in E-Mail-Apps von Drittanbietern wie Apple Mail oder Mozilla Thunderbird wird erst dann fortgesetzt, wenn ein neues OAuth 2.0-Token erstellt wurde. Das gilt auch für andere Anwendungen, die E-Mail Bereiche verwenden, um auf die E-Mails eines Nutzers zuzugreifen. Ein neues Token wird erstellt, wenn sich der Nutzer wieder mit seinem Nutzernamen und dem Passwort im Google-Konto authentifiziert.
Diese Richtlinienänderung betrifft auch E-Mail-Apps von Drittanbietern auf Mobilgeräten. Nutzer, die beispielsweise die native E-Mail-App auf iOS verwenden, müssen sich jetzt mit ihren Google-Kontodaten neu authentifizieren, wenn ihr Passwort geändert wurde. Dieses neue Verhalten für E-Mail-Apps von Drittanbietern auf Mobilgeräten entspricht dem aktuellen Verhalten bei Gmail auf iOS und Android, bei dem nach einer Passwortänderung ebenfalls eine erneute Authentifizierung erforderlich ist.
Der Widerruf von Tokens umfasst keine Anwendungen, die auf Apps Script basieren, auch wenn das Skript auf E-Mails zugreift.
Hinweise :
- Wenn die Passwortänderung von einem Android-Gerät aus ausgelöst wird, wird das OAuth-Token für die Kontosynchronisierung, das von diesem Android-Gerät verwendet wird, nicht widerrufen.
- Gmail IMAP-Sitzungen, die mit OAuth authentifiziert wurden, sind von einer Passwortänderung nicht betroffen, sind aber auf den Gültigkeitszeitraum des Zugriffstokens beschränkt (in der Regel 1 Stunde).
Fragen
Wie wirkt sich diese Änderung auf Anwendungen mit einem App-Passwort aus, wenn die Bestätigung in zwei Schritten aktiviert ist?
Zurzeit gibt es keine Auswirkungen. Sobald Änderungen im Hinblick auf App-Passwörter auftreten, werden wir sie bekanntgeben.
Wann werden die Tokens widerrufen? Beim Ablauf oder bei der Änderung des Passworts?
Die Tokens werden bei der Änderung des Passworts widerrufen.
Werden durch eine Passwortänderung Zugriffstokens und Aktualisierungstokens ungültig?
Ja, durch die Passwortänderung werden sowohl Zugriffstokens als auch Aktualisierungstokens ungültig.
Wir haben ein benutzerdefiniertes Skript, durch das dasselbe Passwort mehrmals für einen Nutzer festgelegt wird. Wird dadurch ein Widerruf des Tokens ausgelöst?
Wenn dies über die Nutzeraktualisierung der Directory API ausgeführt wird und das gleiche Passwort über die gleiche Funktion mit einem Hash versehen wird, wird dies nicht als Passwortänderung angesehen und diese Tokens sollten nicht widerrufen werden.
Hinweis: Wenn Sie eine Hashing-Funktion verwenden, die ein Salt akzeptiert, müssen Sie für jede Aktualisierung dasselbe Salt verwenden. So vermeiden Sie, dass die Aktualisierung als Passwortänderung eingestuft wird.
Wie wirkt sich die Änderung auf die Einstellung Weniger sichere Apps aus?
Die Einstellung Weniger sichere Apps hat keine Auswirkungen auf Tokens, die nach einer Passwortänderung widerrufen werden.
Google, Google Workspace und zugehörige Warenzeichen und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.