Per aumentare la sicurezza degli account per gli utenti Google, i token OAuth 2.0 emessi per accedere a determinati prodotti vengono revocati automaticamente in seguito alla modifica della password dell'utente. Dopo la reimpostazione della password, le app di posta di terze parti come Apple Mail e Mozilla Thunderbird, così come altre applicazioni che utilizzano ambiti di posta per accedere alla posta degli utenti, interromperanno la sincronizzazione dei dati finché non verrà assegnato un nuovo token OAuth 2.0. Il nuovo token verrà emesso quando l'utente eseguirà di nuovo l'autenticazione con il nome utente e la password del proprio Account Google.
Questa modifica alle norme include anche le applicazioni di posta di terze parti sui dispositivi mobili. Ad esempio, gli utenti che utilizzano l'applicazione di posta nativa su iOS ora dovranno eseguire di nuovo l'autenticazione con le credenziali del proprio Account Google quando la password è stata modificata. Questo nuovo comportamento per le app di posta di terze parti sui dispositivi mobili è in linea con il comportamento attuale di Gmail su iOS e Android, che richiede anche la riautenticazione dopo la reimpostazione della password.
La procedura di revoca dei token non include le applicazioni create con Apps Script, anche se lo script accede alla posta.
Note:
- Se la modifica della password viene attivata da un dispositivo Android, il token OAuth per la sincronizzazione dell'account utilizzato da questo dispositivo Android non viene revocato.
- Le sessioni IMAP di Gmail autenticate tramite OAuth non sono interessate da una modifica della password, ma sono limitate al periodo di validità del token di accesso (in genere 1 ora).
Domande
In che modo questa modifica influisce sulle applicazioni che utilizzano una password per l'app se la verifica in due passaggi è attivata?
Al momento non ci sono impatti. Annunceremo eventuali modifiche al trattamento delle password per le app quando si verificheranno.
Quando vengono revocati i token, alla scadenza della password o alla modifica della password?
I token vengono revocati in seguito alla modifica della password.
Una modifica della password invalida sia i token di accesso sia i token di aggiornamento?
Sì, la modifica della password invalida sia i token di accesso sia i token di aggiornamento.
Abbiamo uno script personalizzato che imposta più volte la stessa password per un utente. Questa operazione attiverà la revoca dei token?
Se questa operazione viene eseguita tramite l'aggiornamento degli utenti dell'API Directory e la stessa password viene sottoposta a hashing tramite la stessa funzione, non verrà trattata come una modifica della password e, di conseguenza, i token non verranno revocati.
Nota: se utilizzi una funzione di hashing che accetta un salt, assicurati di utilizzare lo stesso salt per ogni aggiornamento. In questo modo, l'aggiornamento non verrà trattato come una modifica della password.
In che modo questa modifica influisce sull'impostazione App meno sicure?
L'impostazione App meno sicure non influirà sulla revoca dei token in seguito alla modifica della password.
Google, Google Workspace e i marchi e loghi correlati sono marchi di Google LLC. Tutti gli altri nomi di società e prodotti sono marchi delle società a cui sono associati.