כדי לשפר את אבטחת החשבון של משתמשי Google, טוקנים מסוג OAuth 2.0 שהונפקו לצורך גישה למוצרים מסוימים מבוטלים באופן אוטומטי כשמשתמש משנה את הסיסמה שלו. באפליקציות אימייל של צד שלישי כמו Apple Mail או Mozilla Thunderbird (וגם באפליקציות אחרות שנעשה בהן שימוש בהיקפי הרשאות לאימייל כדי לגשת לאימייל של המשתמש) יופסק סנכרון הנתונים לאחר איפוס הסיסמה, עד שיתקבל טוקן OAuth 2.0 חדש. מתקבל טוקן חדש כשהמשתמש מבצע אימות מחדש באמצעות שם המשתמש והסיסמה בחשבון Google.
שינוי המדיניות הזה חל גם על אפליקציות אימייל של צד שלישי בנייד. לדוגמה, משתמשים שמשתמשים באפליקציית הדואר המובנית ב-iOS יצטרכו עכשיו לאמת מחדש את פרטי הכניסה לחשבון Google שלהם אם הם שינו את הסיסמה. ההתנהגות החדשה הזו באפליקציות אימייל של צד שלישי בנייד תואמת להתנהגות הנוכחית ב-Gmail ב-iOS וב-Android, שגם בהן נדרש אימות מחדש אחרי איפוס הסיסמה.
תהליך ביטול הטוקן לא כולל אפליקציות שנבנו ב-Apps Script, גם אם הסקריפט ניגש לדואר.
הערות:
- אם שינוי הסיסמה מופעל ממכשיר Android, טוקן ה-OAuth של סנכרון החשבון שבו נעשה שימוש במכשיר Android הזה לא מבוטל.
- שינוי סיסמה לא משפיע על סשנים של Gmail IMAP שאומתו באמצעות OAuth, אבל הם מוגבלים לתקופת התוקף של אסימון הגישה (בדרך כלל שעה אחת).
שאלות
איך השינוי הזה משפיע על אפליקציות שמשתמשות בסיסמה לאפליקציה אם האימות הדו-שלבי מופעל?
אין השפעה כרגע. אם יהיו שינויים בטיפול בסיסמאות לאפליקציות, נעדכן אתכם.
מתי האסימונים מבוטלים, כשפג התוקף של הסיסמה או כשמשנים את הסיסמה?
האסימונים מבוטלים כשמשנים את הסיסמה.
האם שינוי סיסמה מבטל את התוקף של אסימוני גישה וגם של אסימוני רענון?
כן, שינוי הסיסמה מבטל את אסימוני הגישה ואת אסימוני הרענון.
יש לנו סקריפט מותאם אישית שמגדיר את אותה סיסמה למשתמש כמה פעמים. האם הפעולה הזו תגרום לביטול הטוקן?
אם הפעולה הזו מתבצעת באמצעות עדכון משתמשים ב-Directory API, והסיסמה זהה לסיסמה הקודמת אחרי שהיא עוברת גיבוב באמצעות אותה פונקציה, המערכת לא תתייחס לזה כשינוי סיסמה, ולכן לא יבוטלו טוקנים.
הערה: אם אתם משתמשים בפונקציית גיבוב שמקבלת salt, הקפידו להשתמש באותו salt בכל עדכון. כך המערכת לא תתייחס לעדכון כאל שינוי סיסמה.
איך השינוי הזה משפיע על ההגדרה אפליקציות ברמת אבטחה נמוכה?
להגדרה אפליקציות ברמת אבטחה נמוכה לא תהיה השפעה על ביטול טוקנים בעקבות שינוי סיסמה.
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.