Większe bezpieczeństwo dzięki unieważnianiu tokena OAuth 2.0

W zeszłym roku, Google ogłosiło planowaną zmianę polityki bezpieczeństwa, zgodnie z którą tokeny OAuth 2.0 byłyby unieważniane w momencie zmiany hasła użytkownika. Później jednak została podjęta decyzja, że zmiana ta nie zostanie wprowadzona dla klientów Google Apps, do czasu opracowania bardziej przyjaznego w administracji zachowania usługi. Ten czas nadszedł właśnie teraz.

Logo OAuth 2.0

Ze względu na chęć minimalnego utrudniania życia użytkownikom, przy jednoczesnym wzroście bezpieczeństwa, obecnie zmiany ograniczone są do zakresu obejmującego maile, z wyłączeniem tokenów dotyczących Apps Scriptu. Także aplikacje zainstalowane za pośrednictwem Google Apps Marketplace nie podlegają unieważnieniu tokena. Po wprowadzeniu zmiany, aplikacje firm trzecich, takie jak Apple Mail, czy Thunderbird oraz inne aplikacje wykorzystujące wiele zakresów, a zawierające przynajmniej jeden zakres dotyczący poczty nie będą synchronizować danych po zmianie hasła użytkownika do momentu, kiedy zostanie wygenerowany nowy token OAuth 2.0. Nowy token zostanie wygenerowany w momencie ponownego zalogowania użytkownika przy pomocy konta Google i hasła.

Także aplikacje pocztowe na urządzeniach mobilnych zostaną objęte tą zmianą polityki. Np. użytkownicy aplikacji Apple Mail na iOS będą musieli ponownie zalogować się swoim kontem Google po zmianie hasła. To nowe zachowanie aplikacji firm trzecich będzie odpowiadało aktualnemu zachowaniu aplikacji natywnych Google na iOS i na Androidzie.

Polityka zostanie wprowadzona 5 października 2016, warto więc zwrócić na to uwagę użytkownikom. Od tego momentu, ew. zmiany w zakresach polityki będą ogłaszane z wyprzedzeniem.

Należy jednocześnie zwrócić uwagę, że zmiana hasła nie powinna być jedynym mechanizmem zabezpieczenia dostępu do kont. Zalecamy uruchomienie mechanizmu weryfikacji dwuetapowej, zwłaszcza, że od pewnego czasu dostępny jest bardzo prosty mechanizm autoryzacji urządzeniem mobilnym.