У меня есть канал YouTube, который находится под учетной записью Google, отличной от моей обычной. У меня есть безопасный пароль и настроен альтернативный адрес электронной почты, но я подумал, что увижу, насколько безопасна функция восстановления пароля и смогу ли я получить доступ практически без какой-либо информации.
Это заняло у меня 10 минут, и у меня был полный доступ. Они отправили ссылку для сброса пароля на введенный мною адрес электронной почты, который никогда не был связан с моей учетной записью. Они также никогда не отправляли мне электронное письмо по фактическому адресу, связанному с учетной записью, чтобы сказать, что пароль был изменен кем-то другим, поэтому, если бы кто-то еще получил контроль над учетной записью, я бы даже не был уведомлен об этом !
Это все, что мне нужно было сделать, чтобы получить доступ:
- Введите имя пользователя YouTube.
- Нажмите Подтвердить личность .
- Введите адрес электронной почты, на который они позже отправят ссылку для сброса, если им понравятся мои ответы.
- Ответьте около 20 вопросов.
Первый был такой:
Я ввел совершенно случайное слово.
Большинство остальных вопросов не являются обязательными и могут быть легко выяснены путем просмотра информации на канале YouTube. Например,
- Какую дату (примерно) вы присоединились к Google?
- Выберите из этого списка продукты Google, которые вы используете, и когда вы начали их использовать.
В конце он сказал, что кому-то может понадобиться день, чтобы просмотреть ответы, но электронное письмо со ссылкой для сброса пришло через несколько минут.
На мой взгляд, это ужасно, и я не понимаю, как они могли сделать такой беспорядок. Я не использую двухфакторную аутентификацию, но надеюсь, что это будет иметь какое-то значение.
Когда вы меняете свой пароль, они вынуждают его соответствовать определенным стандартам и даже блокируют использование предыдущих паролей. Это все хорошо, но совершенно бессмысленно, если кто-то может так легко обойти его.
На тему «последний пароль, который вы помните»
Означает ли это, что Google хранит пароли аккаунта в открытом виде? Если бы они создавали хэши, тогда не понимали, какой ответ на этот вопрос им пригодился бы, поскольку они не знали, насколько похож введенный текст с фактическим в базе данных.
Вот мой актуальный вопрос!
Есть ли способ отключить всю систему восстановления паролей в целом? Или есть способ просто отключить бит «Подтвердить свою личность», который, на мой взгляд, вообще не должен существовать? По крайней мере, это должна быть опция подписки.
Я также думаю, что они должны позволить вам отключить опцию «Получить через: автоматический телефонный звонок», потому что каждый может ответить на звонок и действительно легко получить код подтверждения. Если номер, который вы установили, является вашим мобильным телефоном, у вас, вероятно, будет экран блокировки, чтобы случайные люди не могли читать ваши сообщения, но любой мог ответить на телефонный звонок, даже если он заблокирован. Я знаю, что некоторые телефоны показывают предварительный просмотр новых текстов, поэтому вы должны быть осторожны с этим (но это не проблема Google).
Я также понимаю, что они могли использовать тот факт, что запросы были с обычного IP-адреса, но я все еще не думаю, что это достаточно близко к информации, чтобы разблокировать учетную запись для кого-то.