Esiste un modo per disabilitare la funzione di recupero password di Google?

13

Ho un canale YouTube con un account Google diverso dal mio normale. Ho una password sicura con essa e un indirizzo e-mail alternativo impostato, ma ho pensato di vedere quanto fosse sicura la funzione di recupero password e se potevo accedere con quasi nessuna informazione.

Mi ci sono voluti 10 minuti e ho avuto pieno accesso. Hanno inviato un link per reimpostare la password a un indirizzo e-mail che ho inserito che non è mai stato associato al mio account in alcun modo. Inoltre non mi hanno mai inviato un'e-mail all'indirizzo effettivo associato all'account per dirmi che la password era stata modificata da qualcun altro, quindi se qualcun altro avesse acquisito il controllo dell'account non me ne sarei nemmeno informato !

Questo è tutto ciò che dovevo fare per ottenere l'accesso:

  • Inserisci il nome utente YouTube.
  • Fai clic su Verifica identità .

Opzioni di aiuto per la password di Google

  • Inserisci un indirizzo e-mail a cui avrebbero successivamente inviato un link di reimpostazione se gli piacevano le mie risposte.
  • Rispondi a circa 20 domande.

Il primo è stato questo:

Modulo che richiede l'ultima password che ricordi e l'ultima volta che sei stato in grado di accedere

Ho inserito una parola completamente casuale.

La maggior parte delle altre domande sono opzionali e possono essere facilmente risolte visualizzando effettivamente le informazioni sul canale YouTube. Per esempio,

  • In quale data (approssimativamente) ti sei unito a Google?
  • Seleziona da questo elenco i prodotti Google che usi e quando hai iniziato a usarli.

Alla fine ha detto che potrebbe volerci un giorno prima che qualcuno riesamini le risposte, ma l'e-mail con il link di reset è arrivata nei prossimi minuti.

Secondo me questo è spaventoso e non capisco come avrebbero potuto rovinarlo. Non utilizzo l'autenticazione a due fattori, ma spero che questo possa fare qualche differenza.

Quando cambi la tua password, la forzano ad essere di un certo standard e ti impediscono persino di utilizzare password precedenti. Questo è tutto buono ma completamente inutile se può essere bypassato da chiunque così facilmente.

In tema di "ultima password che ricordi"

Questo significa che Google sta memorizzando le password degli account in chiaro? Se stavano creando hash, allora non capisco come una risposta a questa domanda possa essere utile a loro in quanto non avrebbero idea di quanto simile fosse quello immesso a quello reale nel database.

Ecco la mia vera domanda!

Esiste un modo per disabilitare del tutto il sistema di recupero password? O c'è un modo per disabilitare semplicemente il bit "Verifica la tua identità", che secondo me non dovrebbe nemmeno esistere in primo luogo? Dovrebbe almeno essere una funzione opt-in.

Penso anche che dovrebbero permetterti di disabilitare l'opzione "Ricevi via: una telefonata automatizzata" perché chiunque può rispondere al telefono e ottenere il codice di conferma molto facilmente. Se il numero che hai impostato è il tuo cellulare probabilmente avrai una schermata di blocco in modo che le persone casuali non possano leggere i tuoi messaggi, ma chiunque potrebbe rispondere a una telefonata anche se è bloccato. So che alcuni telefoni mostrano un'anteprima di nuovi testi, quindi devi fare attenzione anche a questo (ma non è un problema di Google).

Mi rendo conto anche che avrebbero potuto usare il fatto che le richieste provenivano dal solito indirizzo IP, ma non credo ancora che questo sia abbastanza vicino a informazioni sufficienti per sbloccare l'account per qualcuno.

google-account  security  account-management  account-recovery 
Tom Jenkinson
fonte
E cosa fai se lo disabiliti e ne hai effettivamente bisogno in seguito?
Alex,
2
Bene, allora sei bloccato. Non avresti dovuto dimenticarlo in primo luogo! Penso solo che dovrebbe esserci l'opzione per disabilitarlo. Le opzioni (escluse le scelte multiple "verifica la tua identità") vanno bene in quanto utilizzano metodi che hai aggiunto personalmente e ai quali solo tu hai accesso per essere contattato.
Tom Jenkinson,
1
Qual'è la tua domanda? Tutto quello che vedo qui è uno sfogo.
Ale
2
Esiste un modo per disabilitare l'intero sistema di recupero password insieme? O c'è un modo per disabilitare semplicemente il bit "Verifica la tua identità"?
Tom Jenkinson,

Risposte:

6

Google sta probabilmente utilizzando le informazioni che non ti è stato specificamente richiesto durante il processo di reimpostazione della password per verificare la tua proprietà dell'account. In particolare, i token memorizzati sul tuo computer e il tuo indirizzo IP.

Ho avuto un'esperienza simile alla tua, che inizialmente mi ha allarmato e ho testato la suddetta teoria utilizzando il browser Tor per eseguire il ripristino. Questo browser reindirizza una sessione Web attraverso i server di Tor in Europa, rendendo la sessione più anonima.

Il risultato fu una serie di domande molto più aggressive. La prima volta che ho tentato di reimpostare la password, li ho fatti saltare e ho colpito un muro di mattoni. Ho provato una seconda volta e una volta che ho risposto alle domande in modo corretto, mi è stato presentato un link via e-mail a una pagina di ripristino. Quando ho fatto clic su quel collegamento, poiché ho impostato la verifica in due passaggi, mi è stata presentata una richiesta per un numero fornito dall'app Google Authenticator sul mio telefono. Ho fornito quel numero e solo allora mi è stato permesso di ripristinare la password.

Questa esperienza mi dà più fiducia nel processo. Google, sebbene fallibile, non è un enorme box aziendale pieno di idioti. La sicurezza delle password è una caratteristica fondamentale dell'attività di Google e sono sicuro che hanno riflettuto a lungo sul modo migliore per consentire agli utenti legittimi che sono abbastanza intelligenti da perdere le password per recuperarli senza consentire ai ladri di scappare con tutto il Google conti.

Carl
fonte
Hai provato le opzioni disponibili per bypassare o ignorare l'autenticazione a 2 fattori? Ricordo che una delle opzioni era "Non ho abilitato l'autenticazione a 2 fattori" ...
Harald,
4

È strano che il mio account non visualizzi un'opzione di verifica dell'identità mentre il tuo lo fa. Questa opzione sembra variare in base al Paese o ad altri articoli.

Modifica: c'è stato un reclamo simile su un forum di Google , sebbene nessuna soluzione oltre alla verifica in due passaggi.

Non è possibile disabilitare il recupero della password di Google. Ho esaminato le impostazioni. Non c'è proprio modo. E, sulla base di una buona dose di ricerca, neanche "Verifica la tua identità" non può essere disabilitato.

Sembra che tu abbia un account YouTube separato con un nome utente e una password separati. Tieni presente che la procedura di recupero della password è diversa solo per YT rispetto agli account Google. Sembra essere meno sicuro.

Hai diverse opzioni:

Collega YouTube al tuo account Google

Se hai un account YouTube separato, dovresti essere in grado di aggirare quel problema collegandolo al tuo account Google come descritto qui: http://support.google.com/youtube/bin/answer.py?hl=it&hlrm=de&answer = 69964

Quindi entra in funzione il meccanismo di recupero della password di Google

Sposta YouTube su Google Apps

L'uso di Google Apps (anche la versione gratuita) ti consentirebbe di creare un utente senza diritti di amministratore che non può in alcun caso ripristinare la propria password. È simile a lavorare con un account utente in Windows per motivi di sicurezza.

Qui viene mostrato come trasferire il tuo account YouTube a un account Google Apps: http://support.google.com/youtube/bin/answer.py?hl=it&answer=1267449

Modifica: possibilmente, un account Google Apps non presenterebbe l'opzione di recupero "Verifica la tua identità". Non riesco a verificarlo e non ho trovato prove di supporto. Ma vale la pena provare perché non sembra esserci altra opzione.

Abilita la verifica in due passaggi

Abilitare la verifica in due passaggi migliorerà la tua sicurezza perché la sola password non sarebbe sufficiente per hackerare il tuo account. Ovviamente, questo funzionerà solo dopo aver collegato il tuo account YouTube a un account Google.

l'utente 99572 va bene
fonte
1
Grazie. È già collegato a un account Google. Non sono sicuro di come sarebbe utile la creazione di un nuovo utente con privilegi limitati, poiché sarebbe sempre possibile reimpostare la password per l'account principale. Ora ho abilitato la verifica in due passaggi, ma ti dà comunque la possibilità di "verificare la tua identità" comunque, nel caso in cui la sicurezza aggiuntiva che imposti non funzioni e sembra che si scontri con la stessa serie di domande che sconfiggono il oggetto. Tutto quello che voglio è l'opzione per disabilitare l'opzione 'verifica identità'. La maggior parte dei siti non ha questo e non lo userei mai poiché ho sempre accesso alla mia e-mail.
Tom Jenkinson,
Sai se c'è un modo per contattare Google?
Tom Jenkinson,
Nessuno di cui io sia a conoscenza (a meno che tu non sia un cliente pagante - AdWords e Google Apps for Business). Questo problema è stato recentemente trattato qui: webapps.stackexchange.com/questions/3716/…
utente 99572 va bene
@TomJenkinson Ho ampliato la mia risposta. Spiacenti, non ho compreso la differenza tra "Verifica la tua identità" (VYI) e il recupero della password. Domanda: sei riuscito a bypassare anche la verifica in due passaggi con VYI?
utente 99572 va bene
2
Ho appena ripetuto il processo come ho fatto prima scegliendo l'opzione che diceva che non potevi accedere al tuo cellulare (che mi ha portato a VYI). Ho appena ricevuto un'e-mail da loro che collega a una pagina di aiuto sulla verifica in due passaggi e ha detto di rispondere se hai ancora problemi. Sembra promettente come prima mi hanno appena inviato un link immediatamente. Ho appena risposto e detto che non riesco ad accedere e pubblicherò qui se riesco a mandarmi un link di reimpostazione.
Tom Jenkinson,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.