برای افزایش امنیت حساب کاربری کاربران گوگل، توکنهای OAuth 2.0 که برای دسترسی به برخی محصولات صادر شدهاند، با تغییر رمز عبور کاربر، بهطور خودکار لغو میشوند. برنامههای ایمیل شخص ثالث مانند Apple Mail و Mozilla Thunderbird - و همچنین سایر برنامههایی که از محدودههای ایمیل برای دسترسی به ایمیل کاربر استفاده میکنند - پس از تنظیم مجدد رمز عبور، همگامسازی دادهها را تا زمان اعطای توکن OAuth 2.0 جدید متوقف میکنند. هنگامی که کاربر با نام کاربری و رمز عبور حساب Google خود دوباره احراز هویت شود، یک توکن جدید اعطا میشود.
برنامههای ایمیل شخص ثالث در موبایل نیز شامل این تغییر سیاست میشوند. به عنوان مثال، کاربرانی که از برنامه ایمیل بومی در iOS استفاده میکنند، اکنون باید پس از تغییر رمز عبور، با اعتبارنامه حساب گوگل خود دوباره احراز هویت کنند. این رفتار جدید برای برنامههای ایمیل شخص ثالث در موبایل با رفتار فعلی Gmail در iOS و اندروید همسو است که آنها نیز پس از تنظیم مجدد رمز عبور نیاز به احراز هویت مجدد دارند.
فرآیند ابطال توکن شامل برنامههای ساخته شده بر روی Apps Script نمیشود، حتی اگر این اسکریپت به ایمیل دسترسی داشته باشد.
یادداشتها:
- اگر تغییر رمز عبور از یک دستگاه اندروید انجام شود، توکن OAuth برای همگامسازی حساب کاربری که توسط این دستگاه اندروید استفاده میشود، لغو نمیشود.
- جلسات Gmail IMAP که با استفاده از OAuth تأیید اعتبار میشوند، تحت تأثیر تغییر رمز عبور قرار نمیگیرند، اما به مدت اعتبار توکن دسترسی (معمولاً ۱ ساعت) محدود میشوند.
سوالات
در صورت فعال بودن تأیید هویت دو مرحلهای، این تغییر چه تأثیری بر برنامههایی که از رمز عبور برنامه (App Password) استفاده میکنند، میگذارد؟
در حال حاضر، هیچ تاثیری وجود ندارد. ما هرگونه تغییری در نحوهی برخورد با رمزهای عبور برنامه را به محض وقوع اعلام خواهیم کرد.
چه زمانی توکنها لغو میشوند، پس از انقضای رمز عبور یا تغییر رمز عبور؟
توکنها پس از تغییر رمز عبور لغو میشوند.
آیا تغییر رمز عبور، توکنهای دسترسی و همچنین توکنهای بهروزرسانی را نامعتبر میکند؟
بله، تغییر رمز عبور، توکنهای دسترسی و همچنین توکنهای بهروزرسانی را نامعتبر میکند.
ما یک اسکریپت سفارشی داریم که چندین بار رمز عبور یکسانی را برای یک کاربر تنظیم میکند. آیا این باعث ابطال توکن میشود؟
اگر این کار از طریق بهروزرسانی کاربران API دایرکتوری انجام شود و همان رمز عبور از طریق همان تابع هش شود، این به عنوان تغییر رمز عبور تلقی نمیشود و بنابراین توکنها نباید لغو شوند.
نکته : اگر از تابع هشینگ استفاده میکنید که salt میپذیرد، مطمئن شوید که برای هر بهروزرسانی از salt یکسانی استفاده میکنید. این کار تضمین میکند که بهروزرسانی به عنوان تغییر رمز عبور در نظر گرفته نشود.
این تغییر چه تاثیری بر تنظیمات برنامههای کمخطرتر (Less secure apps ) دارد؟
تنظیمات برنامههای کمخطرتر هیچ تاثیری بر لغو توکنها پس از تغییر رمز عبور نخواهد داشت.
گوگل، گوگل ورکاسپیس و علامتها و لوگوهای مرتبط، علائم تجاری شرکت گوگل هستند. سایر نامهای شرکتها و محصولات، علائم تجاری شرکتهایی هستند که با آنها مرتبط هستند.