Actualización: Mejora de la seguridad de la cuenta tras la revocación de los tokens OAuth 2.0
A finales del año pasado Google anunció un cambio planificado en la política de seguridad, con el que los tokens de OAuth 2.0 serían revocados cuando la contraseña de un usuario fuese cambiada. Más tarde se decidió no seguir adelante con este cambio para los clientes de Apps y se comenzó a trabajar en un enfoque más sencillo para los administradores, que ahora está listo para su lanzamiento.
Para lograr los beneficios de seguridad de este cambio de política y que no sea muy confuso para los administradores ni interrumpa la operativa del usuario final, Google ha decidido limitar el cambio, inicialmente, sólo al ámbito de correo y excluir los tokens de Apps Script. Las aplicaciones instaladas a través de Google Apps Marketplace tampoco están sujetas a la revocación de tokens. Una vez este cambio se haga efectivo en las aplicaciones de correo de terceros, como el correo de Apple y Thunderbird (así como otras aplicaciones que utilizan varios ámbitos que incluyen al menos uno de correo electrónico), se detendrá la sincronización de los datos sobre el restablecimiento de contraseña hasta que se conceda un nuevo token OAuth 2.0.. Este será concedido cuando el usuario vuelva a autorizar con su nombre de usuario y contraseña de la cuenta de Google.
Las aplicaciones de correo móviles también se incluyen en este cambio de política. Por ejemplo, las personas que usan la aplicación de correo de Apple en iOS ahora tendrán que volver a llevar a cabo una autorización con sus credenciales de la cuenta de Google cuando su contraseña sea cambiada. Este nuevo comportamiento para aplicaciones de terceros de correo electrónico para móviles se alinea con el comportamiento actual de las aplicaciones de Gmail en iOS y Android, que también requieren de re-autorización cuando la contraseña es restablecida.
El cambio de política ha entrado en vigor el pasado 5 de octubre de 2016. En el futuro, cualquier ámbito adicional que se añada a esta política será comunicado con antelación.
Hay que tener en cuenta que no se debe confiar en los cambios de contraseña realizados por sí solos atendiendo a la seguridad de la cuenta. Si sospechas que una cuenta puede estar comprometida, utiliza la lista de verificación del Centro de Ayuda para asegurar que las cuentas de tus usuarios son seguras.
Más información: Centro de Ayuda y FAQ
Detalles del lanzamiento:
El lanzamiento ha sido realizado para dominios Rapid Release y Scheduled Release.
Despliegue completo
Impacto: Usuarios finales