Eu tenho um canal do YouTube em uma conta do Google diferente da minha normal. Eu tenho uma senha segura e um endereço de email alternativo configurado, mas achei que veria o quão seguro era o recurso de recuperação de senha e se eu poderia obter acesso com quase nenhuma informação.
Levei 10 minutos e eu tive acesso total. Eles enviaram um link de redefinição de senha para um endereço de e-mail que eu inseri que nunca foi associado à minha conta de forma alguma. Eles também nunca me enviaram um e-mail no endereço real associado à conta para me informar que a senha havia sido alterada por outra pessoa; portanto, se alguém tivesse ganhado o controle da conta, eu nem teria sido notificado dela !
Era tudo o que eu precisava fazer para ter acesso:
- Digite o nome de usuário do YouTube.
- Clique em Verificar identidade .
- Digite um endereço de e-mail para o qual eles enviariam posteriormente um link de redefinição, se gostassem das minhas respostas.
- Responda cerca de 20 perguntas.
O primeiro foi este:
Eu digitei uma palavra completamente aleatória.
A maioria das outras perguntas é opcional e pode ser resolvida com muita facilidade, visualizando as informações no canal do YouTube. Por exemplo,
- Em que data (aproximadamente) você entrou no Google?
- Selecione nesta lista os produtos do Google que você usa e quando começou a usá-los.
No final, dizia que poderia levar um dia para alguém revisar as respostas, mas o e-mail com o link de redefinição chegou nos próximos minutos.
Na minha opinião, isso é terrível e eu não entendo como eles poderiam ter feito uma bagunça. Não uso autenticação de dois fatores, mas espero que isso faça alguma diferença.
Quando você altera sua senha, eles o forçam a ter um determinado padrão e até impedem que você use senhas anteriores. Tudo isso é bom, mas completamente inútil, se puder ser contornado por alguém com tanta facilidade.
Sobre o assunto da 'última senha que você lembra'
Isso significa que o Google está armazenando senhas de contas em texto não criptografado? Se eles estavam criando hashes, então não entendam como seria útil uma resposta para essa pergunta, pois eles não têm idéia de quão semelhante a entrada foi à atual no banco de dados.
Aqui está a minha pergunta real!
Existe uma maneira de desativar todo o sistema de recuperação de senha? Ou existe uma maneira de apenas desativar o bit 'Verifique sua identidade', que na minha opinião nem deveria existir em primeiro lugar? Deve ser pelo menos um recurso de aceitação.
Também acho que eles devem permitir que você desative a opção 'Receber via: uma ligação telefônica automatizada', porque qualquer pessoa pode atender o telefone e obter o código de confirmação com muita facilidade. Se o número que você definiu for o seu celular, você provavelmente terá uma tela de bloqueio para que pessoas aleatórias não possam ler suas mensagens, mas qualquer pessoa poderá atender uma ligação mesmo que ela esteja bloqueada. Eu sei que alguns telefones mostram uma prévia de novos textos, então você também deve tomar cuidado com isso (mas isso não é problema do Google).
Percebo também que eles podem ter usado o fato de que as solicitações eram do endereço IP habitual, mas ainda não acho que isso esteja próximo de informações suficientes para desbloquear a conta de alguém.
fonte
Respostas:
O Google provavelmente está usando informações que não foram solicitadas especificamente a você durante o processo de redefinição de senha para verificar sua propriedade da conta. Especificamente, tokens armazenados no seu computador e seu endereço IP.
Eu tive uma experiência semelhante à sua, que inicialmente me assustou e testou a teoria acima usando o navegador Tor para executar a redefinição. Este navegador redireciona uma sessão da Web através dos próprios servidores do Tor na Europa, tornando sua sessão mais anônima.
O resultado foi um conjunto de perguntas muito mais agressivo. Na primeira vez em que tentei redefinir a senha, apenas as expliquei e bati em uma parede de tijolos. Tentei uma segunda vez e, depois de responder às perguntas de maneira correta, recebi um link por e-mail para uma página de redefinição. Ao clicar nesse link, como tenho a verificação em duas etapas configurada, fui apresentado a uma demanda por um número fornecido pelo aplicativo Google Authenticator no meu telefone. Forneci esse número e só então tive permissão para redefinir a senha.
Essa experiência me dá mais confiança no processo. O Google, embora falível, não é um enorme cercado corporativo cheio de idiotas. A segurança de senhas é um recurso crítico dos negócios do Google, e tenho certeza de que eles pensaram muito sobre como melhor permitir que usuários legítimos e esquecidos o suficiente percam senhas para recuperá-las sem permitir que ladrões fugam com todo o Google contas.
fonte
É estranho que minha conta não exiba uma opção de verificação de identidade enquanto a sua é exibida. Esta opção parece variar de acordo com o país ou outro item.
Editar: houve uma reclamação semelhante em um fórum do Google , embora não haja solução além da verificação em duas etapas.
Não há como desativar a recuperação de senha do Google. Eu passei pelas configurações. Simplesmente não há como. E, com base em uma quantidade razoável de pesquisas, "Verifique sua identidade" também não pode ser desativado.
Parece que você tem uma conta separada do YouTube com um nome de usuário e senha separados. Observe que o procedimento de recuperação de senha é diferente apenas para o YT em comparação com as contas do Google. Parece ser menos seguro.
Você tem várias opções:
Vincule o YouTube à sua conta do Google
Se você tiver uma conta separada do YouTube, poderá evitar esse problema vinculando-o à sua conta do Google, conforme descrito aqui: http://support.google.com/youtube/bin/answer.py?hl=pt_BR&hlrm=de&answer = 69964
Em seguida, o mecanismo de recuperação de senha do Google entra em ação
Mover o YouTube para o Google Apps
O uso do Google Apps (mesmo a versão gratuita) permitiria a criação de um usuário sem direitos de administrador, que não pode, em hipótese alguma, redefinir sua própria senha. É semelhante ao trabalho com uma conta de usuário no Windows para fins de segurança.
A seguir, é mostrado como transferir sua conta do YouTube para uma conta do Google Apps: http://support.google.com/youtube/bin/answer.py?hl=pt_BR&answer=1267449
Editar: possivelmente, uma conta do Google Apps não apresentaria a opção de recuperação "Verifique sua identidade". Não consigo verificar isso e não encontrei nenhuma evidência de suporte. Mas vale a pena tentar, pois parece não haver outra opção.
Ativar verificação em duas etapas
A ativação da verificação em duas etapas melhorará sua segurança porque a senha por si só seria insuficiente para invadir sua conta. Obviamente, isso só funcionará depois de vincular sua conta do YouTube a uma Conta do Google.
fonte