Revocación automática del token de OAuth 2.0 al cambiar la contraseña

Con el objetivo de aumentar la seguridad de la cuenta de los usuarios de Google, cuando se cambia la contraseña de un usuario, se revocan automáticamente los tokens de OAuth 2.0 emitidos para acceder a determinados productos. Al cambiar la contraseña de las aplicaciones de correo de terceros, como Apple® Mail® y Mozilla® Thunderbird®, así como de otras aplicaciones que utilicen alcances de correo para acceder a uno, estas dejan de sincronizar datos hasta que se asigne un nuevo token de OAuth 2.0. Este token se asignará cuando el usuario se vuelva a autenticar con el nombre de usuario y la contraseña de su cuenta de Google.

Las aplicaciones de correo electrónico para móviles de terceros también están incluidas en este cambio de la política. Por ejemplo, los usuarios que utilizan la aplicación nativa de correo electrónico en iOS tendrán que volver a autenticarse con las credenciales de su cuenta de Google cuando su contraseña cambie. Este nuevo comportamiento de las aplicaciones de correo electrónico para móviles de terceros coincide con el comportamiento actual de Gmail en iOS y Android, que también requieren volver a autenticarse al restablecer la contraseña.

El proceso de revocación del token no incluye las aplicaciones creadas en Apps Script, incluso aunque una secuencia de comandos acceda al correo.

Nota: Si un dispositivo Android solicita un cambio de contraseña, no se revoca el token de OAuth que ha utilizado dicho dispositivo para sincronizar la cuenta.

Preguntas

¿Cómo afecta este cambio a las aplicaciones con contraseña de aplicación si se ha habilitado la verificación en dos pasos?

Actualmente, no tiene ningún efecto. Comunicaremos cualquier cambio relativo al tratamiento de las contraseñas de aplicación en cuanto se produzca.

¿Cuándo se revocan los tokens? ¿Al caducar o al cambiar la contraseña?

Los tokens se revocan al cambiar la contraseña.

¿Invalida el cambio de una contraseña los tokens de acceso y de actualización?

Sí, el cambio de la contraseña invalida tanto los tokens de acceso como los de actualización.

Utilizamos una secuencia de comandos personalizada que establece la misma contraseña para un usuario varias veces. ¿Provocará esto que se revoque el token?

Si esta operación se realiza a través de la actualización de usuarios de la API de Directory, y se hashea esa contraseña usando la misma función, no se considerará que se haya cambiado la contraseña, por lo que no se deberían revocar los tokens.

Nota: Al usar una función de tecnología hash que permita añadir salt a las contraseñas, debes utilizar el mismo valor de salt en todas las actualizaciones. De esta forma, una actualización no se considera un cambio de contraseña.

¿Cómo afecta este cambio al ajuste Aplicaciones menos seguras?

El ajuste Aplicaciones menos seguras no afectará a los tokens que se estén revocando al cambiar la contraseña.

¿Te ha resultado útil esta información?
¿Cómo podemos mejorar esta página?