Existe-t-il un moyen de désactiver la fonction de récupération de mot de passe de Google?

13

J'ai une chaîne YouTube sous un autre compte Google que le mien normal. J'ai un mot de passe sécurisé et une autre adresse e-mail configurée, mais je pensais voir à quel point la fonction de récupération de mot de passe était sécurisée et si je pouvais y accéder avec presque aucune information.

Cela m'a pris 10 minutes et j'avais un accès complet. Ils ont envoyé un lien de réinitialisation de mot de passe à une adresse e-mail que j'ai entrée et qui n'a jamais été associée à mon compte. Ils ne m'ont également jamais envoyé un e-mail à l'adresse réelle associée au compte pour me dire que le mot de passe avait été modifié par quelqu'un d'autre, donc si quelqu'un d'autre avait pris le contrôle du compte, je n'en aurais même pas été informé. !

C'est tout ce que j'avais à faire pour avoir accès:

  • Saisissez le nom d'utilisateur YouTube.
  • Cliquez sur Vérifier l'identité .

Options d'aide sur les mots de passe Google

  • Entrez une adresse e-mail à laquelle ils enverraient plus tard un lien de réinitialisation s'ils aimaient mes réponses.
  • Répondez à environ 20 questions.

Le premier était le suivant:

Formulaire demandant le dernier mot de passe dont vous vous souvenez et la dernière fois que vous avez pu vous connecter

J'ai entré un mot complètement aléatoire.

La plupart des autres questions sont facultatives et peuvent être facilement résolues en consultant les informations sur la chaîne YouTube. Par exemple,

  • À quelle date (approximativement) avez-vous rejoint Google?
  • Sélectionnez dans cette liste les produits Google que vous utilisez et quand vous avez commencé à les utiliser.

À la fin, il a déclaré qu'il pourrait falloir un jour à quelqu'un pour réviser les réponses, mais l'e-mail avec le lien de réinitialisation est arrivé dans les prochaines minutes.

À mon avis, c'est épouvantable et je ne comprends pas comment ils auraient pu en faire autant. Je n'utilise pas l'authentification à deux facteurs, mais j'espère que cela fera une différence.

Lorsque vous modifiez votre mot de passe, ils le forcent à respecter une certaine norme et vous empêchent même d'utiliser les mots de passe précédents. Tout cela est bon mais complètement inutile s'il peut être contourné par n'importe qui si facilement.

Au sujet du «dernier mot de passe dont vous vous souvenez»

Est-ce à dire que Google stocke les mots de passe des comptes en texte clair? S'ils créaient des hachages, ils ne comprennent pas comment une réponse à cette question pourrait leur être utile, car ils n'auraient aucune idée de la similitude de celle entrée avec celle réelle dans la base de données.

Voici ma vraie question!

Existe-t-il un moyen de désactiver complètement le système de récupération de mot de passe? Ou existe-t-il un moyen de désactiver simplement le bit "Vérifier votre identité", qui à mon avis ne devrait même pas exister en premier lieu? Cela devrait au moins être une fonctionnalité opt-in.

Je pense également qu'ils devraient vous permettre de désactiver l'option «Recevoir via: un appel téléphonique automatisé» car tout le monde peut répondre au téléphone et obtenir le code de confirmation très facilement. Si le numéro que vous avez défini est votre mobile, vous aurez probablement un écran de verrouillage afin que des personnes aléatoires ne puissent pas lire vos messages, mais n'importe qui pourrait répondre à un appel téléphonique même s'il est verrouillé. Je sais que certains téléphones affichent un aperçu des nouveaux textes, vous devez donc faire attention à cela également (mais ce n'est pas le problème de Google).

Je me rends compte également qu'ils ont peut-être utilisé le fait que les demandes provenaient de l'adresse IP habituelle, mais je ne pense toujours pas que cela soit suffisamment proche pour déverrouiller le compte de quelqu'un.

Tom Jenkinson
la source
Et que faites-vous si vous le désactivez et en avez réellement besoin par la suite?
Alex
2
Eh bien, vous êtes coincé. Vous ne devriez pas l'avoir oublié en premier lieu! Je pense juste qu'il devrait y avoir la possibilité de le désactiver. Les options (à l'exception des choix multiples «vérifier votre identité») sont correctes car elles utilisent des méthodes que vous avez personnellement ajoutées et auxquelles vous seul avez accès pour être contacté.
Tom Jenkinson
1
Quelle est votre question? Tout ce que je vois ici est une diatribe.
ale
2
Existe-t-il un moyen de désactiver l'ensemble du système de récupération de mot de passe? Ou existe-t-il un moyen de désactiver simplement le bit "Vérifier votre identité"?
Tom Jenkinson

Réponses:

6

Google utilise probablement des informations qu'il ne vous a pas spécifiquement demandées pendant le processus de réinitialisation du mot de passe afin de vérifier votre propriété du compte. Plus précisément, les jetons stockés sur votre ordinateur et votre adresse IP.

J'ai eu une expérience similaire à la vôtre, ce qui m'a d'abord alarmé et j'ai testé la théorie ci-dessus en utilisant le navigateur Tor pour effectuer la réinitialisation. Ce navigateur redirige une session Web via les propres serveurs de Tor en Europe, ce qui rend votre session plus anonyme.

Le résultat a été un ensemble de questions beaucoup plus agressif. La première fois que j'ai tenté de réinitialiser le mot de passe, je les ai simplement fait exploser et j'ai heurté un mur de briques. J'ai essayé une deuxième fois, et une fois que j'avais répondu aux questions un peu correctement, on m'a présenté un lien envoyé par e-mail vers une page de réinitialisation. Lorsque j'ai cliqué sur ce lien, comme j'ai configuré la vérification en deux étapes, une demande de numéro fourni par l'application Google Authenticator sur mon téléphone m'a été présentée. J'ai fourni ce numéro et ce n'est qu'alors que j'ai été autorisé à réinitialiser le mot de passe.

Cette expérience me donne plus de confiance dans le processus. Google, bien que faillible, n'est pas un immense parc d'entreprise plein d'idiots. La sécurité des mots de passe est une caractéristique essentielle des activités de Google, et je suis sûr qu'ils ont longuement réfléchi à la meilleure façon de permettre aux utilisateurs légitimes suffisamment schleppy de perdre des mots de passe pour les récupérer sans permettre aux voleurs de s'enfuir avec tous les Google comptes.

Carl
la source
Avez-vous essayé les options disponibles pour contourner ou ignorer l'authentification à 2 facteurs? Je me souviens que l'une des options était "Je n'ai pas activé l'authentification à 2 facteurs" ...
Harald
4

Il est étrange que mon compte n'affiche pas une option de vérification de votre identité alors que la vôtre le fait. Cette option semble varier selon le pays ou un autre élément.

Edit: il y a eu une plainte similaire sur un forum Google , mais aucune solution à part la vérification en deux étapes.

Il n'y a aucun moyen de désactiver la récupération de mot de passe Google. J'ai parcouru les paramètres. C'est tout simplement impossible. Et, sur la base de nombreuses recherches, "Vérifier votre identité" ne peut pas non plus être désactivé.

Il semble que vous ayez un compte YouTube distinct avec un nom d'utilisateur et un mot de passe distincts. Notez que la procédure de récupération de mot de passe est différente pour YT uniquement par rapport aux comptes Google. Cela semble moins sûr.

Vous avez plusieurs options:

Associez YouTube à votre compte Google

Si vous avez un compte YouTube distinct, vous devriez pouvoir contourner ce problème en le associant à votre compte Google comme décrit ici: http://support.google.com/youtube/bin/answer.py?hl=en&hlrm=de&answer = 69964

Ensuite, le mécanisme de récupération de mot de passe de Google entre en action

Déplacer YouTube vers Google Apps

L'utilisation de Google Apps (même la version gratuite) vous permettrait de créer un utilisateur sans droits d'administrateur qui ne peut en aucun cas réinitialiser son propre mot de passe. Cela revient à travailler avec un compte d'utilisateur sous Windows à des fins de sécurité.

Ici, il explique comment transférer votre compte YouTube vers un compte Google Apps: http://support.google.com/youtube/bin/answer.py?hl=en&answer=1267449

Modifier: il est possible qu'un compte Google Apps ne comporte pas l'option de récupération "Vérifier votre identité". Je ne peux pas le vérifier et je n'ai trouvé aucune preuve à l'appui. Mais cela vaut la peine d'essayer car il ne semble pas y avoir d'autre option.

Activer la vérification en 2 étapes

L'activation de la vérification en deux étapes améliorera votre sécurité car le mot de passe seul ne suffirait pas à pirater votre compte. De toute évidence, cela ne fonctionnera qu'après avoir associé votre compte YouTube à un compte Google.

l'utilisateur 99572 est très bien
la source
1
Merci. Il est déjà lié à un compte Google. Je ne sais pas comment la création d'un nouvel utilisateur avec des privilèges limités pourrait aider car vous seriez toujours en mesure de réinitialiser le mot de passe du compte principal. J'ai activé la vérification en deux étapes maintenant, mais cela vous donne toujours la possibilité de `` vérifier votre identité '' de toute façon, au cas où la sécurité supplémentaire que vous configurez ne fonctionne pas, et il semblerait qu'elle se heurte au même ensemble de questions vaincre le objet. Tout ce que je veux, c'est l'option de désactiver l'option «vérifier l'identité». La plupart des sites ne l'ont pas et je ne l'utiliserais jamais car j'ai toujours accès à mon e-mail.
Tom Jenkinson
Savez-vous s'il existe un moyen de contacter Google?
Tom Jenkinson
Aucun que je sache (sauf si vous êtes un client payant - adWords et Google Apps for Business). Ce problème a été récemment traité ici: webapps.stackexchange.com/questions/3716/…
utilisateur 99572 va bien
@TomJenkinson J'ai élargi ma réponse. Désolé, je n'avais pas compris la différence entre "Vérifier votre identité" (VYI) et la récupération de mot de passe. Question: Avez-vous également pu contourner la vérification en deux étapes avec VYI?
utilisateur 99572 va bien
2
Je viens de recommencer le processus comme je l'ai fait auparavant en choisissant l'option qui disait que vous ne pouviez pas accéder à votre mobile (ce qui m'a amené à VYI). Je viens de recevoir un e-mail de leur part qui renvoie à une page d'aide sur la vérification en 2 étapes et il a répondu si vous avez toujours un problème. Cela semble prometteur car avant ils m'ont juste envoyé un lien tout de suite. Je viens de répondre et j'ai dit que je ne pouvais pas me connecter et je posterai ici si j'arrive à les faire m'envoyer un lien de réinitialisation.
Tom Jenkinson