Um die Kontosicherheit für Google-Nutzer zu erhöhen, werden für den Zugriff auf bestimmte Produkte ausgestellte OAuth 2.0-Tokens automatisch widerrufen, wenn das Passwort eines Nutzers geändert wird. Die Synchronisierung von Daten in E-Mail-Apps von Drittanbietern wie Apple Mail oder Mozilla Thunderbird wird erst dann fortgesetzt, wenn ein neues OAuth 2.0-Token erstellt wurde. Das gilt auch für andere Anwendungen, die E-Mail-Bereiche verwenden, um auf die E-Mails eines Nutzers zuzugreifen. Ein neues Token wird erstellt, wenn sich der Nutzer wieder mit seinem Nutzernamen und dem Passwort im Google-Konto authentifiziert.
Diese Richtlinienänderung gilt auch für E‑Mail-Anwendungen von Drittanbietern auf Mobilgeräten. Nutzer, die beispielsweise die native Mail-App unter iOS verwenden, müssen sich jetzt mit ihren Google-Kontoanmeldedaten neu authentifizieren, wenn ihr Passwort geändert wurde. Dieses neue Verhalten für Drittanbieter-E-Mail-Apps auf Mobilgeräten entspricht dem aktuellen Verhalten von Gmail unter iOS und Android, bei dem nach dem Zurücksetzen des Passworts ebenfalls eine erneute Authentifizierung erforderlich ist.
Der Prozess zum Widerrufen von Tokens umfasst keine Anwendungen, die auf Apps Script basieren, auch wenn das Skript auf E-Mails zugreift.
Hinweise:
- Wenn die Passwortänderung von einem Android-Gerät aus erfolgt, wird das OAuth-Token für die Kontosynchronisierung, die von diesem Android-Gerät verwendet wird, nicht widerrufen.
- Gmail-IMAP-Sitzungen, die mit OAuth authentifiziert werden, sind von einer Passwortänderung nicht betroffen, sind aber auf den Gültigkeitszeitraum des Zugriffstokens (in der Regel 1 Stunde) beschränkt.
Fragen
Welche Auswirkungen hat diese Änderung auf Anwendungen, die ein App-Passwort verwenden, wenn die 2‑Faktor-Authentifizierung aktiviert ist?
Derzeit gibt es keine Auswirkungen. Wir werden Sie über alle Änderungen bei der Behandlung von App-Passwörtern informieren, sobald sie eintreten.
Wann werden die Tokens widerrufen, wenn das Passwort abläuft oder geändert wird?
Die Tokens werden bei einer Passwortänderung widerrufen.
Werden durch eine Passwortänderung sowohl Zugriffs- als auch Aktualisierungstokens ungültig?
Ja, durch die Passwortänderung werden sowohl Zugriffs- als auch Aktualisierungstokens ungültig.
Wir haben ein benutzerdefiniertes Skript, mit dem dasselbe Passwort mehrmals für einen Nutzer festgelegt wird. Wird dadurch ein Tokenwiderruf ausgelöst?
Wenn dies über die Directory API-Nutzeraktualisierung erfolgt und dasselbe Passwort mit derselben Funktion gehasht wird, wird dies nicht als Passwortänderung behandelt und daher sollten keine Tokens widerrufen werden.
Hinweis: Wenn Sie eine Hashing-Funktion verwenden, die einen Salt akzeptiert, müssen Sie für jedes Update denselben Salt verwenden. So wird sichergestellt, dass die Aktualisierung nicht als Passwortänderung behandelt wird.
Wie wirkt sich diese Änderung auf die Einstellung Weniger sichere Apps aus?
Die Einstellung Weniger sichere Apps hat keine Auswirkungen darauf, dass Tokens bei einer Passwortänderung widerrufen werden.
Google, Google Workspace sowie zugehörige Marken und Logos sind Marken von Google LLC. Alle anderen Unternehmens- und Produktnamen sind Marken der jeweiligen Unternehmen.