У мене є канал YouTube, який знаходиться під іншим обліковим записом Google від мого звичайного. У мене є захищений пароль і встановлена альтернативна адреса електронної пошти, але я подумав, наскільки надійним є відновлення пароля та чи зможу я отримати доступ майже з будь-якою інформацією.
На це пішло 10 хвилин, і я мав повний доступ. Вони надіслали посилання для скидання пароля на адресу електронної пошти, яку я ввів, і жодного разу не була пов'язана з моїм обліковим записом. Вони також ніколи не надсилали мені електронну пошту за фактичною адресою, пов’язаною з обліковим записом, щоб повідомити мені, що пароль був змінений кимось іншим, тому якби хтось інший отримав контроль над обліковим записом, я навіть не отримав би повідомлення про нього !
Це все, що мені потрібно було зробити, щоб отримати доступ:
- Введіть ім’я користувача YouTube.
- Натисніть Підтвердити особу .
- Введіть адресу електронної пошти, на яку вони пізніше надішлють посилання для скидання, якщо мені сподобаються мої відповіді.
- Дайте відповідь на 20 запитань.
Першим було таке:
Я ввів цілком випадкове слово.
Більшість питань не є обов'язковими, і їх можна легко зрозуміти, переглянувши інформацію на каналі YouTube. Наприклад,
- Яка дата (приблизно) ви приєдналися до Google?
- Виберіть із цього списку продукти, які ви використовуєте Google, і коли ви почали їх використовувати.
Наприкінці було сказано, що хтось може переглянути відповіді, але повідомлення електронної пошти із посиланням для скидання надійшло протягом наступних кількох хвилин.
На мою думку, це жахливо, і я не розумію, як вони могли зробити такий безлад. Я не використовую двофакторну аутентифікацію, але сподіваюся, що це має певну зміну.
Коли ви змінюєте свій пароль, вони змушують його бути певним стандартом, і вони навіть блокують вас від використання попередніх паролів. Це все добре, але абсолютно безглуздо, якщо його ніхто так легко може обійти.
За темою "останнього пароля, який ви пам'ятаєте"
Чи означає це, що Google зберігає паролі облікового запису в чистому тексті? Якби вони створювали хеші, тоді не розумійте, наскільки відповідь на це питання їм не принесе користі, оскільки вони б не мали уявлення, наскільки схожий на введений у базі даних.
Ось моє актуальне питання!
Чи існує спосіб взагалі відключити всю систему відновлення пароля? Або є спосіб просто відключити біт "Підтвердити свою особу", який, на мою думку, навіть не повинен існувати в першу чергу? Це має бути, принаймні, функцією для входу.
Я також думаю, що вони повинні дозволити вам відключити опцію "Отримати через: автоматизований телефонний дзвінок", оскільки кожен може відповісти на телефон і отримати код підтвердження дуже легко. Якщо номер, який ви встановили, - ваш мобільний, напевно, у вас буде заблокований екран, тому випадкові люди не можуть читати ваші повідомлення, але кожен може відповісти на телефонний дзвінок, навіть якщо він заблокований. Я знаю, що на деяких телефонах відображається попередній перегляд нових текстів, тому ви повинні також бути обережними (але це не проблема Google).
Я також розумію, що вони, можливо, використовували той факт, що запити надходили зі звичайної IP-адреси, але я все ще не думаю, що це десь поблизу достатньо інформації, щоб розблокувати акаунт для когось.