Czy istnieje sposób na wyłączenie funkcji odzyskiwania hasła Google?

13

Mam kanał YouTube, który ma inne konto Google niż moje normalne. Mam przy nim bezpieczne hasło i skonfigurowany alternatywny adres e-mail, ale pomyślałem, że zobaczę, jak bezpieczna jest funkcja odzyskiwania hasła i czy mogę uzyskać dostęp praktycznie bez żadnych informacji.

Zajęło mi to 10 minut i miałem pełny dostęp. Wysłali link do resetowania hasła na podany przeze mnie adres e-mail, który nigdy nie został w żaden sposób powiązany z moim kontem. Nigdy też nie wysłali mi e-maila na rzeczywisty adres powiązany z kontem, aby poinformować mnie, że hasło zostało zmienione przez kogoś innego, więc jeśli ktoś przejmie kontrolę nad kontem, nie zostałbym o tym powiadomiony !

To wszystko, co musiałem zrobić, aby uzyskać dostęp:

  • Wpisz nazwę użytkownika YouTube.
  • Kliknij Zweryfikuj tożsamość .

Opcje pomocy do hasła Google

  • Wpisz adres e-mail, na który później wyślą link resetowania, jeśli podobają mi się moje odpowiedzi.
  • Odpowiedz na około 20 pytań.

Pierwszy był następujący:

Formularz z prośbą o podanie ostatniego hasła, które pamiętasz i kiedy ostatnio mogłeś się zalogować

Wprowadziłem całkowicie losowe słowo.

Większość pozostałych pytań jest opcjonalna i można je naprawdę łatwo zrozumieć, przeglądając informacje na kanale YouTube. Na przykład,

  • Jaką datę (z grubsza) dołączyłeś do Google?
  • Wybierz z tej listy produkty Google, których używasz i kiedy zacząłeś ich używać.

Na koniec napisano, że sprawdzenie odpowiedzi może zająć dzień, ale wiadomość e-mail z linkiem do resetowania nadeszła w ciągu kilku minut.

Moim zdaniem jest to przerażające i nie rozumiem, jak mogliby zrobić z tego bałagan. Nie używam uwierzytelniania dwuskładnikowego, ale mam nadzieję, że to coś zmieni.

Gdy zmienisz hasło, wymuszają one jego określony standard, a nawet blokują korzystanie z poprzednich haseł. To wszystko jest dobre, ale całkowicie bezcelowe, jeśli ktoś może tak łatwo ominąć.

Na temat „ostatniego hasła, które pamiętasz”

Czy to oznacza, że ​​Google przechowuje hasła do konta w postaci zwykłego tekstu? Gdyby tworzyli skróty, nie rozumieją, w jaki sposób przydatna byłaby dla nich odpowiedź na to pytanie, ponieważ nie mieliby pojęcia, jak podobne było to wpisane w bazie danych.

Oto moje aktualne pytanie!

Czy istnieje sposób na całkowite wyłączenie całego systemu odzyskiwania hasła? A może istnieje sposób na wyłączenie bitu „Zweryfikuj swoją tożsamość”, który moim zdaniem nie powinien istnieć w ogóle? Powinna to być przynajmniej opcja opt-in.

Uważam również, że powinny one umożliwiać wyłączenie opcji „Odbierz przez: zautomatyzowane połączenie telefoniczne”, ponieważ każdy może odebrać telefon i otrzymać kod potwierdzający naprawdę łatwo. Jeśli ustawiony numer to Twój telefon komórkowy, prawdopodobnie będziesz mieć ekran blokady, aby przypadkowi ludzie nie mogli odczytać twoich wiadomości, ale każdy może odebrać połączenie telefoniczne, nawet jeśli jest zablokowane. Wiem, że niektóre telefony wyświetlają podgląd nowych tekstów, więc musisz być ostrożny (ale to nie jest problem Google).

Zdaję sobie również sprawę, że mogli skorzystać z faktu, że żądania pochodziły ze zwykłego adresu IP, ale nadal nie sądzę, że jest to wystarczająco blisko informacji, aby odblokować konto dla kogoś.

google-account security account-management account-recovery Tom Jenkinson
źródło
A co zrobisz, jeśli ją wyłączysz i rzeczywiście będziesz potrzebować później?
Alex
2
Więc utknąłeś. Nie powinieneś o tym zapomnieć! Po prostu myślę, że powinna istnieć możliwość wyłączenia tego. Opcje (z wyłączeniem wielu opcji „zweryfikuj swoją tożsamość”) są w porządku, ponieważ używają metod, które osobiście dodałeś i do których tylko Ty masz dostęp, z którymi możesz się skontaktować.
Tom Jenkinson
1
Jakie jest Twoje pytanie? Widzę tu tylko rant.
ale
2
Czy istnieje sposób na całkowite wyłączenie całego systemu odzyskiwania hasła? Czy jest sposób na wyłączenie bitu „Zweryfikuj swoją tożsamość”?
Tom Jenkinson

Odpowiedzi:

6

Google prawdopodobnie używa informacji, o które nie poprosił Cię w trakcie resetowania hasła, aby zweryfikować własność konta. W szczególności tokeny przechowywane na komputerze i adres IP.

Miałem podobne do ciebie doświadczenie, które początkowo mnie zaalarmowało i przetestowałem powyższą teorię, używając przeglądarki Tor do wykonania resetu. Ta przeglądarka przekierowuje sesję internetową przez własne serwery Tora w Europie, dzięki czemu twoja sesja jest bardziej anonimowa.

Rezultatem był znacznie bardziej agresywny zestaw pytań. Gdy po raz pierwszy spróbowałem zresetować hasło, po prostu zdmuchnąłem je i uderzyłem w ceglany mur. Spróbowałem drugi raz, a kiedy odpowiedziałem nieco poprawnie na pytania, otrzymałem e-mail z linkiem do strony resetowania. Gdy kliknąłem ten link, ponieważ skonfigurowałem weryfikację dwuetapową, otrzymałem żądanie podania numeru podanego przez aplikację Google Authenticator na moim telefonie. Podałem ten numer i dopiero wtedy mogłem zresetować hasło.

To doświadczenie daje mi więcej zaufania do procesu. Google, choć zawodny, nie jest wielkim korporacyjnym kojcem pełnym idiotów. Bezpieczeństwo haseł jest kluczową cechą firmy Google i jestem pewien, że długo i intensywnie zastanawiali się, jak najlepiej pozwolić legalnym użytkownikom, którzy są wystarczająco schleppy, aby stracili hasła, aby je odzyskać, nie pozwalając złodziejom na ucieczkę z całym Google konta

Carl
źródło
Czy wypróbowałeś dostępne opcje pomijania lub ignorowania uwierzytelniania dwuskładnikowego? Przypominam sobie, że jedną z opcji było „Nie włączyłem uwierzytelniania dwuskładnikowego” ...
Harald
4

Dziwne jest to, że moje konto nie wyświetla opcji weryfikacji tożsamości podczas gdy twoje. Ta opcja różni się w zależności od kraju lub innego elementu.

Edycja: na forum Google pojawiła się jedna podobna skarga , ale nie ma rozwiązania oprócz weryfikacji dwuetapowej.

Nie ma możliwości wyłączenia odzyskiwania hasła Google. Przejrzałem ustawienia. Po prostu nie ma mowy. Ponadto, na podstawie rzetelnych badań, „Zweryfikuj swoją tożsamość” również nie może zostać wyłączone.

Wygląda na to, że masz osobne konto YouTube z oddzielną nazwą użytkownika i hasłem. Pamiętaj, że procedura odzyskiwania hasła różni się tylko w przypadku YT niż kont Google. Wydaje się być mniej bezpieczny.

Masz kilka opcji:

Połącz YouTube z kontem Google

Jeśli masz osobne konto YouTube, możesz obejść ten problem, łącząc je ze swoim kontem Google, jak opisano tutaj: http://support.google.com/youtube/bin/answer.py?hl=pl&hlrm=de&answer = 69964

Następnie uruchamia się mechanizm odzyskiwania hasła Google

Przenieś YouTube do Google Apps

Korzystanie z Google Apps (nawet darmowej wersji) umożliwiłoby utworzenie użytkownika bez uprawnień administratora, który w żadnym wypadku nie może zresetować własnego hasła. Jest podobny do pracy z kontem użytkownika w systemie Windows dla celów bezpieczeństwa.

Tutaj pokazano, jak przenieść konto YouTube na konto Google Apps: http://support.google.com/youtube/bin/answer.py?hl=pl&answer=1267449

Edycja: być może konto Google Apps nie zawiera opcji odzyskiwania „Zweryfikuj swoją tożsamość”. Nie mogę tego zweryfikować i nie znalazłem dowodów na poparcie. Ale warto spróbować, ponieważ wydaje się, że nie ma innej opcji.

Włącz weryfikację dwuetapową

Włączenie weryfikacji dwuetapowej poprawi Twoje bezpieczeństwo, ponieważ samo hasło nie wystarczy do zhakowania konta. Oczywiście będzie to działać tylko po połączeniu konta YouTube z kontem Google.

użytkownik 99572 jest w porządku
źródło
1
Dzięki. Jest już połączony z kontem Google. Nie jestem pewien, w jaki sposób utworzenie nowego użytkownika z ograniczonymi uprawnieniami pomogłoby, ponieważ nadal zawsze będziesz mógł zresetować hasło do konta głównego. Włączyłem teraz weryfikację dwuetapową, ale nadal daje ci to opcję „zweryfikowania twojej tożsamości”, na wypadek, gdyby dodatkowe zabezpieczenia, które skonfigurowałeś nie działały, i wygląda na to, że napotkasz ten sam zestaw pytań, które pokonają obiekt. Chcę tylko opcji wyłączenia opcji „weryfikuj tożsamość”. Większość stron tego nie ma i nigdy bym go nie użyła, ponieważ zawsze mam dostęp do mojej poczty e-mail.
Tom Jenkinson
Czy wiesz, czy mogę skontaktować się z Google?
Tom Jenkinson
Żadnego z nich nie znam (chyba że jesteś płatnym klientem - adWords i Google Apps dla Firm). Ten problem został ostatnio omówiony tutaj: webapps.stackexchange.com/questions/3716/…
użytkownik 99572 ma się dobrze
@TomJenkinson Rozszerzyłem swoją odpowiedź. Niestety nie zrozumiałem różnicy między „Weryfikacją tożsamości” (VYI) a odzyskiwaniem hasła. Pytanie: Czy udało Ci się również ominąć weryfikację dwuetapową za pomocą VYI?
użytkownik 99572 ma się dobrze
2
Właśnie przeszedłem ten proces ponownie, tak jak wcześniej, wybierając opcję, która mówi, że nie możesz uzyskać dostępu do telefonu komórkowego (co zabrało mnie do VYI). Właśnie dostałem od nich wiadomość e-mail, która prowadzi do strony pomocy na temat weryfikacji dwuetapowej i zawiera odpowiedź, jeśli nadal masz problem. Wygląda to obiecująco, ponieważ wcześniej wysłali mi link. Właśnie odpowiedziałem i powiedziałem, że nie mogę się zalogować i opublikuję tutaj, jeśli uda mi się przekonać ich do wysłania linku do resetowania.
Tom Jenkinson