כדי לשפר את אבטחת החשבון של משתמשי Google, טוקנים מסוג OAuth 2.0 שהונפקו לגישה למוצרים מסוימים מבוטלים באופן אוטומטי כשמשתמש משנה את הסיסמה שלו. באפליקציות אימייל של צד שלישי כמו Apple Mail או Mozilla Thunderbird (וגם באפליקציות אחרות שנעשה בהן שימוש בהיקפי הרשאות לאימייל כדי לגשת לאימייל של המשתמש) יופסק סנכרון הנתונים לאחר איפוס הסיסמה, עד שיתקבל טוקן OAuth 2.0 חדש. מתקבל טוקן חדש כשהמשתמש מבצע אימות מחדש באמצעות שם המשתמש והסיסמה בחשבון Google.
שינוי המדיניות הזה חל גם על אפליקציות אימייל של צד שלישי בנייד. לדוגמה, משתמשים שמשתמשים באפליקציית האימייל המובנית ב-iOS יצטרכו עכשיו לבצע אימות מחדש באמצעות פרטי הכניסה לחשבון Google שלהם אחרי שינוי הסיסמה. ההתנהגות החדשה הזו של אפליקציות אימייל של צד שלישי בנייד תואמת להתנהגות הנוכחית של Gmail ב-iOS וב-Android, שגם בהן נדרש אימות מחדש אחרי איפוס הסיסמה.
תהליך ביטול האסימון לא כולל אפליקציות שנבנו ב-Apps Script, גם אם הסקריפט ניגש לדואר.
הערות:
- אם שינוי הסיסמה מופעל ממכשיר Android, טוקן ה-OAuth של סנכרון החשבון שבו נעשה שימוש במכשיר Android הזה לא מבוטל.
- שינוי סיסמה לא משפיע על סשנים של Gmail IMAP שאומתו באמצעות OAuth, אבל הם מוגבלים לתקופת התוקף של אסימון הגישה (בדרך כלל שעה אחת).
שאלות
איך השינוי הזה משפיע על אפליקציות שמשתמשות בסיסמה לאפליקציה אם האימות הדו-שלבי מופעל?
אין השפעה כרגע. אם יהיו שינויים באופן הטיפול בסיסמאות לאפליקציות, נעדכן אתכם.
מתי הטוקנים מבוטלים, כשהסיסמה פגה או כשהסיסמה משתנה?
הטוקנים מבוטלים כשמשנים את הסיסמה.
האם שינוי סיסמה מבטל את אסימוני הגישה ואת אסימוני הרענון?
כן, שינוי הסיסמה מבטל את אסימוני הגישה ואת אסימוני הרענון.
יש לנו סקריפט מותאם אישית שמגדיר את אותה סיסמה למשתמש כמה פעמים. האם הפעולה הזו תגרום לביטול הטוקן?
אם הפעולה הזו מתבצעת באמצעות עדכון משתמשים ב-Directory API, והסיסמה זהה לסיסמה הקודמת אחרי שהיא עוברת גיבוב באמצעות אותה פונקציה, המערכת לא תתייחס לזה כשינוי סיסמה, ולכן האסימונים לא יבוטלו.
הערה: אם אתם משתמשים בפונקציית גיבוב שמקבלת salt, הקפידו להשתמש באותו salt בכל עדכון. כך המערכת לא תתייחס לעדכון כאל שינוי סיסמה.
איך השינוי הזה משפיע על ההגדרה אפליקציות ברמת אבטחה נמוכה?
להגדרה אפליקציות ברמת אבטחה נמוכה לא תהיה השפעה על ביטול טוקנים בעקבות שינוי סיסמה.
Google, Google Workspace וסימנים וסמלי לוגו קשורים הם סימנים מסחריים של Google LLC. כל שמות החברות והמוצרים האחרים הם סימנים מסחריים של החברות שאליהן הם משויכים.