Чи є спосіб відключити функцію відновлення пароля Google?


13

У мене є канал YouTube, який знаходиться під іншим обліковим записом Google від мого звичайного. У мене є захищений пароль і встановлена ​​альтернативна адреса електронної пошти, але я подумав, наскільки надійним є відновлення пароля та чи зможу я отримати доступ майже з будь-якою інформацією.

На це пішло 10 хвилин, і я мав повний доступ. Вони надіслали посилання для скидання пароля на адресу електронної пошти, яку я ввів, і жодного разу не була пов'язана з моїм обліковим записом. Вони також ніколи не надсилали мені електронну пошту за фактичною адресою, пов’язаною з обліковим записом, щоб повідомити мені, що пароль був змінений кимось іншим, тому якби хтось інший отримав контроль над обліковим записом, я навіть не отримав би повідомлення про нього !

Це все, що мені потрібно було зробити, щоб отримати доступ:

  • Введіть ім’я користувача YouTube.
  • Натисніть Підтвердити особу .

Параметри довідки щодо пароля Google

  • Введіть адресу електронної пошти, на яку вони пізніше надішлють посилання для скидання, якщо мені сподобаються мої відповіді.
  • Дайте відповідь на 20 запитань.

Першим було таке:

Підказки форми для останнього запам’ятованого пароля та останнього разу, коли ви змогли увійти

Я ввів цілком випадкове слово.

Більшість питань не є обов'язковими, і їх можна легко зрозуміти, переглянувши інформацію на каналі YouTube. Наприклад,

  • Яка дата (приблизно) ви приєдналися до Google?
  • Виберіть із цього списку продукти, які ви використовуєте Google, і коли ви почали їх використовувати.

Наприкінці було сказано, що хтось може переглянути відповіді, але повідомлення електронної пошти із посиланням для скидання надійшло протягом наступних кількох хвилин.

На мою думку, це жахливо, і я не розумію, як вони могли зробити такий безлад. Я не використовую двофакторну аутентифікацію, але сподіваюся, що це має певну зміну.

Коли ви змінюєте свій пароль, вони змушують його бути певним стандартом, і вони навіть блокують вас від використання попередніх паролів. Це все добре, але абсолютно безглуздо, якщо його ніхто так легко може обійти.

За темою "останнього пароля, який ви пам'ятаєте"

Чи означає це, що Google зберігає паролі облікового запису в чистому тексті? Якби вони створювали хеші, тоді не розумійте, наскільки відповідь на це питання їм не принесе користі, оскільки вони б не мали уявлення, наскільки схожий на введений у базі даних.

Ось моє актуальне питання!

Чи існує спосіб взагалі відключити всю систему відновлення пароля? Або є спосіб просто відключити біт "Підтвердити свою особу", який, на мою думку, навіть не повинен існувати в першу чергу? Це має бути, принаймні, функцією для входу.

Я також думаю, що вони повинні дозволити вам відключити опцію "Отримати через: автоматизований телефонний дзвінок", оскільки кожен може відповісти на телефон і отримати код підтвердження дуже легко. Якщо номер, який ви встановили, - ваш мобільний, напевно, у вас буде заблокований екран, тому випадкові люди не можуть читати ваші повідомлення, але кожен може відповісти на телефонний дзвінок, навіть якщо він заблокований. Я знаю, що на деяких телефонах відображається попередній перегляд нових текстів, тому ви повинні також бути обережними (але це не проблема Google).

Я також розумію, що вони, можливо, використовували той факт, що запити надходили зі звичайної IP-адреси, але я все ще не думаю, що це десь поблизу достатньо інформації, щоб розблокувати акаунт для когось.


А що ви робите, якщо ви відключите його і насправді потребуєте після цього?
Олексій

2
Ну тоді ти застряг. Ви не повинні були це забути в першу чергу! Я просто думаю, що має бути можливість відключити це. Варіанти (за винятком декількох варіантів "підтвердити свою особу") є чудовими, оскільки вони використовують методи, які ви особисто додали, і з якими контактуватимете лише ви.
Том Дженкінсон

1
Яке ваше запитання? Все, що я бачу тут, - це зухвала.
але

2
Чи є спосіб відключити всю систему відновлення пароля разом? Або існує спосіб просто відключити біт "Підтвердити свою особу"?
Том Дженкінсон

Відповіді:


6

Google, ймовірно, використовує інформацію, яку вона спеціально не вимагала від вас під час процедури скидання пароля, щоб підтвердити право власності на обліковий запис. Зокрема, маркери, що зберігаються на вашому комп’ютері, та ваша IP-адреса.

Я мав подібний досвід до вашого, який спочатку мене насторожив, і випробував вищезгадану теорію, використовуючи браузер Tor для виконання скидання. Цей веб-переглядач перенаправляє веб-сеанс через власні сервери в Європі, роблячи сеанс більш анонімним.

Результатом став набагато агресивніший набір питань. Перший раз, коли я спробував скинути пароль, я просто підірвав їх і вдарив про цегляну стіну. Я спробував другий раз, і як тільки я відповів на запитання дещо правильно, мені відкрили посилання на електронну пошту на сторінку скидання. Коли я натиснув на це посилання, оскільки у мене встановлено двоетапну перевірку, мені подали запит на номер, наданий додатком Google Authenticator на моєму телефоні. Я вказав цей номер, і лише тоді мені дозволили скинути пароль.

Цей досвід дає мені більше впевненості в цьому процесі. Google, маючи помилки, не є величезним корпоративним майданчиком, повним ідіотів. Безпека пароля є найважливішою особливістю бізнесу Google, і я впевнений, що вони довго і наполегливо думали над тим, як найкраще дозволити законним користувачам, які є досить скупими, втратити паролі, щоб отримати їх назад, не дозволяючи злодіям бігти з усіма Google рахунки.


Ви спробували доступні варіанти для обходу або ігнорування двофакторної аутентифікації? Пригадую, одним із варіантів було "Я не ввімкнув двофакторну автентифікацію" ...
Харальд,

4

Дивно, що мій обліковий запис не відображає варіант підтвердження вашої особи, а ваш. Здається, ця опція залежить від країни чи іншого предмета.

Редагувати: На форумі Google була одна аналогічна скарга , хоча жодного рішення, крім двоетапної перевірки, немає.

Не можна вимкнути відновлення пароля Google. Я пережив налаштування. Просто немає способу. І, виходячи з неабиякої кількості досліджень, "Перевірити свою особу" також не можна відключити.

Схоже, у вас є окремий обліковий запис YouTube з окремим іменем користувача та паролем. Зауважте, що процедура відновлення пароля відрізняється лише від YT порівняно з обліковими записами Google. Це здається менш безпечним.

У вас є кілька варіантів:

Пов’яжіть YouTube зі своїм обліковим записом Google

Якщо у вас є окремий обліковий запис YouTube, ви зможете обійти цю проблему, пов’язавши її зі своїм обліковим записом Google, як описано тут: http://support.google.com/youtube/bin/answer.py?hl=uk&hlrm=de&answer = 69964

Тоді запускається механізм відновлення пароля Google

Перемістіть YouTube на Google Apps

Використання Google Apps (навіть безкоштовна версія) дозволить вам створити користувача без прав адміністратора, який ні за яких умов не може скинути свій власний пароль. Це схоже на роботу з обліковим записом користувача під Windows в цілях безпеки.

Тут показано, як перенести свій обліковий запис YouTube у акаунт Google Apps: http://support.google.com/youtube/bin/answer.py?hl=uk&answer=1267449

Редагувати. Можливо, для облікового запису Google Apps не буде опції відновлення "Підтвердити свою особу". Я не можу це підтвердити, і я не знайшов підтверджень. Але варто спробувати, оскільки іншого варіанту, здається, немає.

Увімкнути двоетапну перевірку

Увімкнення двоетапної перевірки покращить вашу безпеку, оскільки лише одного пароля буде недостатньо для злому вашого облікового запису. Очевидно, це працюватиме лише після того, як ви зв’яжете ваш обліковий запис YouTube із обліковим записом Google.


1
Спасибі. Він уже пов'язаний з обліковим записом google. Я не впевнений, як допомогти створити нового користувача з обмеженими привілеями, оскільки ви все одно зможете скинути пароль для основного облікового запису. Я ввімкнув двоетапну перевірку зараз, але вона все ще надає вам можливість "перевірити свою особистість" у будь-якому випадку, якщо додаткова безпека, яку ви встановили, не працює, і схоже, що вона стикається з тим самим набором питань, що перемагають об’єкт. Все, що я хочу, - це можливість відключити опцію "підтвердити особу". У більшості сайтів цього немає, і я ніколи його не буду використовувати, оскільки я завжди маю доступ до своєї електронної пошти.
Том Дженкінсон,

Чи знаєте ви, чи є спосіб, з яким я можу зв’язатися з google?
Том Дженкінсон

Жоден, про який я знаю (якщо ви не платниковий клієнт - AdWords та Google Apps for Business). Цю проблему нещодавно висвітлювали тут: webapps.stackexchange.com/questions/3716/…
користувач 99572 в порядку

@TomJenkinson Я розширив свою відповідь. На жаль, я не зрозумів різницю між "Підтвердити свою особу" (VYI) та відновленням пароля. Питання: Чи вдалося вам обійти двоетапну перевірку також і VYI?
користувач 99572 прекрасно

2
Щойно я знову пройшов процес, як і раніше, вибравши варіант, який сказав, що ви не можете отримати доступ до свого мобільного (який переніс мене до VYI). Щойно я отримав електронний лист, який посилається на сторінку довідки про двоетапну перевірку, і він відповів, якщо у вас все ще виникають проблеми. Це виглядає багатообіцяючим, як і раніше, вони щойно відправили мені посилання. Я щойно відповів і сказав, що не можу ввійти, і я опублікую тут, якщо мені вдасться їх надіслати, щоб надіслати мені посилання для скидання.
Том Дженкінсон
Використовуючи наш веб-сайт, ви визнаєте, що прочитали та зрозуміли наші Політику щодо файлів cookie та Політику конфіденційності.
Licensed under cc by-sa 3.0 with attribution required.