Existe uma maneira de desativar o recurso de recuperação de senha do Google?

13

Eu tenho um canal do YouTube em uma conta do Google diferente da minha normal. Eu tenho uma senha segura e um endereço de email alternativo configurado, mas achei que veria o quão seguro era o recurso de recuperação de senha e se eu poderia obter acesso com quase nenhuma informação.

Levei 10 minutos e eu tive acesso total. Eles enviaram um link de redefinição de senha para um endereço de e-mail que eu inseri que nunca foi associado à minha conta de forma alguma. Eles também nunca me enviaram um e-mail no endereço real associado à conta para me informar que a senha havia sido alterada por outra pessoa; portanto, se alguém tivesse ganhado o controle da conta, eu nem teria sido notificado dela !

Era tudo o que eu precisava fazer para ter acesso:

  • Digite o nome de usuário do YouTube.
  • Clique em Verificar identidade .

Opções de ajuda da senha do Google

  • Digite um endereço de e-mail para o qual eles enviariam posteriormente um link de redefinição, se gostassem das minhas respostas.
  • Responda cerca de 20 perguntas.

O primeiro foi este:

Formulário solicitando a última senha que você lembra e a última vez que conseguiu fazer login

Eu digitei uma palavra completamente aleatória.

A maioria das outras perguntas é opcional e pode ser resolvida com muita facilidade, visualizando as informações no canal do YouTube. Por exemplo,

  • Em que data (aproximadamente) você entrou no Google?
  • Selecione nesta lista os produtos do Google que você usa e quando começou a usá-los.

No final, dizia que poderia levar um dia para alguém revisar as respostas, mas o e-mail com o link de redefinição chegou nos próximos minutos.

Na minha opinião, isso é terrível e eu não entendo como eles poderiam ter feito uma bagunça. Não uso autenticação de dois fatores, mas espero que isso faça alguma diferença.

Quando você altera sua senha, eles o forçam a ter um determinado padrão e até impedem que você use senhas anteriores. Tudo isso é bom, mas completamente inútil, se puder ser contornado por alguém com tanta facilidade.

Sobre o assunto da 'última senha que você lembra'

Isso significa que o Google está armazenando senhas de contas em texto não criptografado? Se eles estavam criando hashes, então não entendam como seria útil uma resposta para essa pergunta, pois eles não têm idéia de quão semelhante a entrada foi à atual no banco de dados.

Aqui está a minha pergunta real!

Existe uma maneira de desativar todo o sistema de recuperação de senha? Ou existe uma maneira de apenas desativar o bit 'Verifique sua identidade', que na minha opinião nem deveria existir em primeiro lugar? Deve ser pelo menos um recurso de aceitação.

Também acho que eles devem permitir que você desative a opção 'Receber via: uma ligação telefônica automatizada', porque qualquer pessoa pode atender o telefone e obter o código de confirmação com muita facilidade. Se o número que você definiu for o seu celular, você provavelmente terá uma tela de bloqueio para que pessoas aleatórias não possam ler suas mensagens, mas qualquer pessoa poderá atender uma ligação mesmo que ela esteja bloqueada. Eu sei que alguns telefones mostram uma prévia de novos textos, então você também deve tomar cuidado com isso (mas isso não é problema do Google).

Percebo também que eles podem ter usado o fato de que as solicitações eram do endereço IP habitual, mas ainda não acho que isso esteja próximo de informações suficientes para desbloquear a conta de alguém.

Tom Jenkinson
fonte
E o que você faz se desativá-lo e realmente precisar depois?
24412 Alex
2
Bem, então você está preso. Você não deveria ter esquecido em primeiro lugar! Eu apenas acho que deveria haver a opção de desativá-lo. As opções (excluindo as várias opções 'verificar sua identidade') são boas, pois usam métodos que você adicionou pessoalmente e que somente você tem acesso para ser contatado.
Tom Jenkinson
1
Qual a sua pergunta? Tudo o que vejo aqui é um discurso retórico.
ale
2
Existe uma maneira de desativar todo o sistema de recuperação de senha? Ou existe uma maneira de desativar o bit "Verifique sua identidade"?
Tom Jenkinson

Respostas:

6

O Google provavelmente está usando informações que não foram solicitadas especificamente a você durante o processo de redefinição de senha para verificar sua propriedade da conta. Especificamente, tokens armazenados no seu computador e seu endereço IP.

Eu tive uma experiência semelhante à sua, que inicialmente me assustou e testou a teoria acima usando o navegador Tor para executar a redefinição. Este navegador redireciona uma sessão da Web através dos próprios servidores do Tor na Europa, tornando sua sessão mais anônima.

O resultado foi um conjunto de perguntas muito mais agressivo. Na primeira vez em que tentei redefinir a senha, apenas as expliquei e bati em uma parede de tijolos. Tentei uma segunda vez e, depois de responder às perguntas de maneira correta, recebi um link por e-mail para uma página de redefinição. Ao clicar nesse link, como tenho a verificação em duas etapas configurada, fui apresentado a uma demanda por um número fornecido pelo aplicativo Google Authenticator no meu telefone. Forneci esse número e só então tive permissão para redefinir a senha.

Essa experiência me dá mais confiança no processo. O Google, embora falível, não é um enorme cercado corporativo cheio de idiotas. A segurança de senhas é um recurso crítico dos negócios do Google, e tenho certeza de que eles pensaram muito sobre como melhor permitir que usuários legítimos e esquecidos o suficiente percam senhas para recuperá-las sem permitir que ladrões fugam com todo o Google contas.

Carl
fonte
Você já tentou as opções disponíveis para ignorar ou ignorar a autenticação de dois fatores? Lembro-me de uma das opções era "eu não ativar a autenticação 2-fator" ...
Harald
4

É estranho que minha conta não exiba uma opção de verificação de identidade enquanto a sua é exibida. Esta opção parece variar de acordo com o país ou outro item.

Editar: houve uma reclamação semelhante em um fórum do Google , embora não haja solução além da verificação em duas etapas.

Não há como desativar a recuperação de senha do Google. Eu passei pelas configurações. Simplesmente não há como. E, com base em uma quantidade razoável de pesquisas, "Verifique sua identidade" também não pode ser desativado.

Parece que você tem uma conta separada do YouTube com um nome de usuário e senha separados. Observe que o procedimento de recuperação de senha é diferente apenas para o YT em comparação com as contas do Google. Parece ser menos seguro.

Você tem várias opções:

Vincule o YouTube à sua conta do Google

Se você tiver uma conta separada do YouTube, poderá evitar esse problema vinculando-o à sua conta do Google, conforme descrito aqui: http://support.google.com/youtube/bin/answer.py?hl=pt_BR&hlrm=de&answer = 69964

Em seguida, o mecanismo de recuperação de senha do Google entra em ação

Mover o YouTube para o Google Apps

O uso do Google Apps (mesmo a versão gratuita) permitiria a criação de um usuário sem direitos de administrador, que não pode, em hipótese alguma, redefinir sua própria senha. É semelhante ao trabalho com uma conta de usuário no Windows para fins de segurança.

A seguir, é mostrado como transferir sua conta do YouTube para uma conta do Google Apps: http://support.google.com/youtube/bin/answer.py?hl=pt_BR&answer=1267449

Editar: possivelmente, uma conta do Google Apps não apresentaria a opção de recuperação "Verifique sua identidade". Não consigo verificar isso e não encontrei nenhuma evidência de suporte. Mas vale a pena tentar, pois parece não haver outra opção.

Ativar verificação em duas etapas

A ativação da verificação em duas etapas melhorará sua segurança porque a senha por si só seria insuficiente para invadir sua conta. Obviamente, isso só funcionará depois de vincular sua conta do YouTube a uma Conta do Google.

usuário 99572 está bom
fonte
1
Obrigado. Ele já está vinculado a uma conta do Google. Não tenho certeza de como a criação de um novo usuário com privilégios limitados ajudaria, pois você ainda poderá redefinir a senha da conta principal. Ativei a verificação em duas etapas agora, mas ela ainda oferece a opção de 'verificar sua identidade' de qualquer maneira, caso a segurança extra que você configurar não funcione e pareça que ela se depara com o mesmo conjunto de perguntas que derrota o objeto. Tudo o que eu quero é a opção de desativar a opção 'verificar identidade'. A maioria dos sites não tem isso e eu nunca o usaria, pois sempre tenho acesso ao meu email.
Tom Jenkinson 28/05
Você sabe se existe uma maneira de entrar em contato com o google?
Tom Jenkinson
Nada que eu saiba (a menos que você seja um cliente pagante - adWords e Google Apps for Business). Esta edição foi abordada recentemente aqui: webapps.stackexchange.com/questions/3716/…
user 99572 está bom
@ TomJenkinson Expandi minha resposta. Desculpe, não percebi a diferença entre "Verifique sua identidade" (VYI) e recuperação de senha. Pergunta: Você também conseguiu ignorar a verificação em duas etapas com a VYI?
usuário 99572 está bem
2
Acabei de passar pelo processo novamente, como fiz antes, escolhendo a opção que dizia que você não podia acessar seu celular (o que me levou à VYI). Acabei de receber um e-mail com um link para uma página de ajuda sobre a verificação em duas etapas e ela dizia responder se você ainda tiver um problema. Parece promissor, como antes eles me enviaram um link imediatamente. Acabei de responder e dizer que não consigo fazer login e postarei aqui se conseguir que eles me enviem um link de redefinição.
Tom Jenkinson