Ho un canale YouTube con un account Google diverso dal mio normale. Ho una password sicura con essa e un indirizzo e-mail alternativo impostato, ma ho pensato di vedere quanto fosse sicura la funzione di recupero password e se potevo accedere con quasi nessuna informazione.
Mi ci sono voluti 10 minuti e ho avuto pieno accesso. Hanno inviato un link per reimpostare la password a un indirizzo e-mail che ho inserito che non è mai stato associato al mio account in alcun modo. Inoltre non mi hanno mai inviato un'e-mail all'indirizzo effettivo associato all'account per dirmi che la password era stata modificata da qualcun altro, quindi se qualcun altro avesse acquisito il controllo dell'account non me ne sarei nemmeno informato !
Questo è tutto ciò che dovevo fare per ottenere l'accesso:
- Inserisci il nome utente YouTube.
- Fai clic su Verifica identità .
- Inserisci un indirizzo e-mail a cui avrebbero successivamente inviato un link di reimpostazione se gli piacevano le mie risposte.
- Rispondi a circa 20 domande.
Il primo è stato questo:
Ho inserito una parola completamente casuale.
La maggior parte delle altre domande sono opzionali e possono essere facilmente risolte visualizzando effettivamente le informazioni sul canale YouTube. Per esempio,
- In quale data (approssimativamente) ti sei unito a Google?
- Seleziona da questo elenco i prodotti Google che usi e quando hai iniziato a usarli.
Alla fine ha detto che potrebbe volerci un giorno prima che qualcuno riesamini le risposte, ma l'e-mail con il link di reset è arrivata nei prossimi minuti.
Secondo me questo è spaventoso e non capisco come avrebbero potuto rovinarlo. Non utilizzo l'autenticazione a due fattori, ma spero che questo possa fare qualche differenza.
Quando cambi la tua password, la forzano ad essere di un certo standard e ti impediscono persino di utilizzare password precedenti. Questo è tutto buono ma completamente inutile se può essere bypassato da chiunque così facilmente.
In tema di "ultima password che ricordi"
Questo significa che Google sta memorizzando le password degli account in chiaro? Se stavano creando hash, allora non capisco come una risposta a questa domanda possa essere utile a loro in quanto non avrebbero idea di quanto simile fosse quello immesso a quello reale nel database.
Ecco la mia vera domanda!
Esiste un modo per disabilitare del tutto il sistema di recupero password? O c'è un modo per disabilitare semplicemente il bit "Verifica la tua identità", che secondo me non dovrebbe nemmeno esistere in primo luogo? Dovrebbe almeno essere una funzione opt-in.
Penso anche che dovrebbero permetterti di disabilitare l'opzione "Ricevi via: una telefonata automatizzata" perché chiunque può rispondere al telefono e ottenere il codice di conferma molto facilmente. Se il numero che hai impostato è il tuo cellulare probabilmente avrai una schermata di blocco in modo che le persone casuali non possano leggere i tuoi messaggi, ma chiunque potrebbe rispondere a una telefonata anche se è bloccato. So che alcuni telefoni mostrano un'anteprima di nuovi testi, quindi devi fare attenzione anche a questo (ma non è un problema di Google).
Mi rendo conto anche che avrebbero potuto usare il fatto che le richieste provenivano dal solito indirizzo IP, ma non credo ancora che questo sia abbastanza vicino a informazioni sufficienti per sbloccare l'account per qualcuno.