J'ai une chaîne YouTube sous un autre compte Google que le mien normal. J'ai un mot de passe sécurisé et une autre adresse e-mail configurée, mais je pensais voir à quel point la fonction de récupération de mot de passe était sécurisée et si je pouvais y accéder avec presque aucune information.
Cela m'a pris 10 minutes et j'avais un accès complet. Ils ont envoyé un lien de réinitialisation de mot de passe à une adresse e-mail que j'ai entrée et qui n'a jamais été associée à mon compte. Ils ne m'ont également jamais envoyé un e-mail à l'adresse réelle associée au compte pour me dire que le mot de passe avait été modifié par quelqu'un d'autre, donc si quelqu'un d'autre avait pris le contrôle du compte, je n'en aurais même pas été informé. !
C'est tout ce que j'avais à faire pour avoir accès:
- Saisissez le nom d'utilisateur YouTube.
- Cliquez sur Vérifier l'identité .
- Entrez une adresse e-mail à laquelle ils enverraient plus tard un lien de réinitialisation s'ils aimaient mes réponses.
- Répondez à environ 20 questions.
Le premier était le suivant:
J'ai entré un mot complètement aléatoire.
La plupart des autres questions sont facultatives et peuvent être facilement résolues en consultant les informations sur la chaîne YouTube. Par exemple,
- À quelle date (approximativement) avez-vous rejoint Google?
- Sélectionnez dans cette liste les produits Google que vous utilisez et quand vous avez commencé à les utiliser.
À la fin, il a déclaré qu'il pourrait falloir un jour à quelqu'un pour réviser les réponses, mais l'e-mail avec le lien de réinitialisation est arrivé dans les prochaines minutes.
À mon avis, c'est épouvantable et je ne comprends pas comment ils auraient pu en faire autant. Je n'utilise pas l'authentification à deux facteurs, mais j'espère que cela fera une différence.
Lorsque vous modifiez votre mot de passe, ils le forcent à respecter une certaine norme et vous empêchent même d'utiliser les mots de passe précédents. Tout cela est bon mais complètement inutile s'il peut être contourné par n'importe qui si facilement.
Au sujet du «dernier mot de passe dont vous vous souvenez»
Est-ce à dire que Google stocke les mots de passe des comptes en texte clair? S'ils créaient des hachages, ils ne comprennent pas comment une réponse à cette question pourrait leur être utile, car ils n'auraient aucune idée de la similitude de celle entrée avec celle réelle dans la base de données.
Voici ma vraie question!
Existe-t-il un moyen de désactiver complètement le système de récupération de mot de passe? Ou existe-t-il un moyen de désactiver simplement le bit "Vérifier votre identité", qui à mon avis ne devrait même pas exister en premier lieu? Cela devrait au moins être une fonctionnalité opt-in.
Je pense également qu'ils devraient vous permettre de désactiver l'option «Recevoir via: un appel téléphonique automatisé» car tout le monde peut répondre au téléphone et obtenir le code de confirmation très facilement. Si le numéro que vous avez défini est votre mobile, vous aurez probablement un écran de verrouillage afin que des personnes aléatoires ne puissent pas lire vos messages, mais n'importe qui pourrait répondre à un appel téléphonique même s'il est verrouillé. Je sais que certains téléphones affichent un aperçu des nouveaux textes, vous devez donc faire attention à cela également (mais ce n'est pas le problème de Google).
Je me rends compte également qu'ils ont peut-être utilisé le fait que les demandes provenaient de l'adresse IP habituelle, mais je ne pense toujours pas que cela soit suffisamment proche pour déverrouiller le compte de quelqu'un.
la source
Réponses:
Google utilise probablement des informations qu'il ne vous a pas spécifiquement demandées pendant le processus de réinitialisation du mot de passe afin de vérifier votre propriété du compte. Plus précisément, les jetons stockés sur votre ordinateur et votre adresse IP.
J'ai eu une expérience similaire à la vôtre, ce qui m'a d'abord alarmé et j'ai testé la théorie ci-dessus en utilisant le navigateur Tor pour effectuer la réinitialisation. Ce navigateur redirige une session Web via les propres serveurs de Tor en Europe, ce qui rend votre session plus anonyme.
Le résultat a été un ensemble de questions beaucoup plus agressif. La première fois que j'ai tenté de réinitialiser le mot de passe, je les ai simplement fait exploser et j'ai heurté un mur de briques. J'ai essayé une deuxième fois, et une fois que j'avais répondu aux questions un peu correctement, on m'a présenté un lien envoyé par e-mail vers une page de réinitialisation. Lorsque j'ai cliqué sur ce lien, comme j'ai configuré la vérification en deux étapes, une demande de numéro fourni par l'application Google Authenticator sur mon téléphone m'a été présentée. J'ai fourni ce numéro et ce n'est qu'alors que j'ai été autorisé à réinitialiser le mot de passe.
Cette expérience me donne plus de confiance dans le processus. Google, bien que faillible, n'est pas un immense parc d'entreprise plein d'idiots. La sécurité des mots de passe est une caractéristique essentielle des activités de Google, et je suis sûr qu'ils ont longuement réfléchi à la meilleure façon de permettre aux utilisateurs légitimes suffisamment schleppy de perdre des mots de passe pour les récupérer sans permettre aux voleurs de s'enfuir avec tous les Google comptes.
la source
Il est étrange que mon compte n'affiche pas une option de vérification de votre identité alors que la vôtre le fait. Cette option semble varier selon le pays ou un autre élément.
Edit: il y a eu une plainte similaire sur un forum Google , mais aucune solution à part la vérification en deux étapes.
Il n'y a aucun moyen de désactiver la récupération de mot de passe Google. J'ai parcouru les paramètres. C'est tout simplement impossible. Et, sur la base de nombreuses recherches, "Vérifier votre identité" ne peut pas non plus être désactivé.
Il semble que vous ayez un compte YouTube distinct avec un nom d'utilisateur et un mot de passe distincts. Notez que la procédure de récupération de mot de passe est différente pour YT uniquement par rapport aux comptes Google. Cela semble moins sûr.
Vous avez plusieurs options:
Associez YouTube à votre compte Google
Si vous avez un compte YouTube distinct, vous devriez pouvoir contourner ce problème en le associant à votre compte Google comme décrit ici: http://support.google.com/youtube/bin/answer.py?hl=en&hlrm=de&answer = 69964
Ensuite, le mécanisme de récupération de mot de passe de Google entre en action
Déplacer YouTube vers Google Apps
L'utilisation de Google Apps (même la version gratuite) vous permettrait de créer un utilisateur sans droits d'administrateur qui ne peut en aucun cas réinitialiser son propre mot de passe. Cela revient à travailler avec un compte d'utilisateur sous Windows à des fins de sécurité.
Ici, il explique comment transférer votre compte YouTube vers un compte Google Apps: http://support.google.com/youtube/bin/answer.py?hl=en&answer=1267449
Modifier: il est possible qu'un compte Google Apps ne comporte pas l'option de récupération "Vérifier votre identité". Je ne peux pas le vérifier et je n'ai trouvé aucune preuve à l'appui. Mais cela vaut la peine d'essayer car il ne semble pas y avoir d'autre option.
Activer la vérification en 2 étapes
L'activation de la vérification en deux étapes améliorera votre sécurité car le mot de passe seul ne suffirait pas à pirater votre compte. De toute évidence, cela ne fonctionnera qu'après avoir associé votre compte YouTube à un compte Google.
la source