Automatiskt återkallande av OAuth 2.0-token vid lösenordsändring

För att öka kontosäkerheten för Google-användare återkallas utfärdad OAuth 2.0-token för åtkomst till vissa produkter när en användares lösenord ändras. Externa e-postappar som Apple® Mail® och Mozilla® Thunderbird® – samt andra appar som använder e-postomfång för att få tillgång till en användares e-post – slutar att synka data när lösenordet återställts tills en ny OAuth 2.0-token har beviljats. En ny token beviljas när användaren återautentiserar med sitt användarnamn och lösenord för Google-kontot.

Externa e-postprogram på mobilen ingår också i denna policyändring. Exempelvis kommer användare som använder det integrerade e-postprogrammet i iOS nu att tvingas autentisera om med uppgifterna från sitt Google-konto när deras lösenord har ändrats. Detta nya beteende för externa e-postappar på mobilen motsvarar det aktuella beteendet för Gmail på iOS och Android, vilket också kräver omautentisering vid en återställning av lösenordet.

Processen för återkallande av token inkluderar inte program som bygger på Apps Script, även om skriptet får tillgång till e-post.

Obs! Om lösenordsändringen aktiveras från en Android-enhet återkallas inte OAuth-token för kontosynkronisering som används av denna Android-enhet.

Frågor

Hur påverkar denna ändring applikationer som använder ett Apps-lösenord om tvåstegsverifiering aktiveras?

För närvarande påverkas de inte. Vi informerar om eventuella ändringar av behandlingen av applösenord när de uppstår.

Innebär en lösenordsändring att åtkomst- och uppdateringstoken blir ogiltiga?

Ja, lösenordsändringen gör att åtkomst- och uppdateringstoken blir oglitiga.

Vi har ett anpassat skript som anger samma lösenord för en användare flera gånger. Aktiverar detta återkallande av token?

Om detta görs via Directory API-användaruppdatering och samma lösenord hashlagras via samma funktion, behandlas detta inte som en lösenordändring och token ska därför inte återkallas.

Obs! Om du använder en hashfunktion som godkänner saltning ska du använda samma saltning för alla uppdateringar. Då hanteras uppdateringen inte som en lösenordsändring.

Hur påverkar denna ändring inställningen Mindre säkra appar?

Inställningen Mindre säkra appar påverkar inte token som återkallas vid lösenordsbyte.

Var det här till hjälp?
Hur kan vi förbättra den?