Tengo un canal de YouTube que está bajo una cuenta de Google diferente a la normal. Tengo una contraseña segura y una dirección de correo electrónico alternativa configurada, pero pensé que vería cuán segura era la función de recuperación de contraseña y si podía obtener acceso sin apenas información.
Me tomó 10 minutos y tuve acceso completo. Enviaron un enlace de restablecimiento de contraseña a una dirección de correo electrónico que ingresé que nunca se ha asociado con mi cuenta de ninguna manera. Tampoco me enviaron nunca un correo electrónico a la dirección real asociada con la cuenta para decirme que otra persona había cambiado la contraseña, por lo que si otra persona hubiera tomado el control de la cuenta, ni siquiera me lo habrían notificado. !
Esto es todo lo que tuve que hacer para obtener acceso:
- Ingrese el nombre de usuario de YouTube.
- Haz clic en Verificar identidad .
- Ingrese una dirección de correo electrónico a la que luego enviarían un enlace de restablecimiento si les gustaran mis respuestas.
- Responda unas 20 preguntas.
El primero fue este:
Ingresé una palabra completamente al azar.
La mayoría del resto de las preguntas son opcionales y se pueden resolver de manera muy sencilla al ver la información en el canal de YouTube. Por ejemplo,
- ¿En qué fecha (aproximadamente) te uniste a Google?
- Seleccione de esta lista los productos de Google que usa y cuándo comenzó a usarlos.
Al final, dijo que podría tomar un día para que alguien revise las respuestas, pero el correo electrónico con el enlace de reinicio llegó en los próximos minutos.
En mi opinión, esto es espantoso y no entiendo cómo pudieron haber hecho un desastre. No uso la autenticación de dos factores, pero espero que esto haga alguna diferencia.
Cuando cambia su contraseña, la obligan a tener un cierto estándar e incluso le impiden usar contraseñas anteriores. Todo esto es bueno pero completamente inútil si alguien puede pasarlo por alto tan fácilmente.
Sobre el tema de la 'última contraseña que recuerdas'
¿Significa esto que Google está almacenando las contraseñas de las cuentas en texto claro? Si estaban creando hash, entonces no entiendo cómo una respuesta a esta pregunta les sería útil, ya que no tendrían idea de cuán similar fue la que ingresó con la real en la base de datos.
Aquí está mi pregunta real!
¿Hay alguna forma de deshabilitar todo el sistema de recuperación de contraseña por completo? ¿O hay una manera de deshabilitar el bit 'Verifique su identidad', que en mi opinión ni siquiera debería existir en primer lugar? Al menos debería ser una función opcional.
También creo que deberían permitirle deshabilitar la opción 'Recibir mediante: una llamada telefónica automatizada' porque cualquiera puede contestar el teléfono y obtener el código de confirmación con mucha facilidad. Si el número que ha configurado es su teléfono móvil, probablemente tendrá una pantalla de bloqueo para que personas al azar no puedan leer sus mensajes, pero cualquiera podría responder una llamada telefónica incluso si está bloqueada. Sé que algunos teléfonos muestran una vista previa de nuevos textos, por lo que también debes tener cuidado con eso (pero ese no es el problema de Google).
También me doy cuenta de que podrían haber utilizado el hecho de que las solicitudes provenían de la dirección IP habitual, pero todavía no creo que esta información sea lo suficientemente cercana como para desbloquear la cuenta de alguien.
fuente
Respuestas:
Google probablemente esté utilizando información que no le ha solicitado específicamente durante el proceso de restablecimiento de contraseña para verificar su propiedad de la cuenta. Específicamente, los tokens almacenados en su computadora y su dirección IP.
Tuve una experiencia similar a la tuya, lo que inicialmente me alarmó, y probé la teoría anterior usando el navegador Tor para realizar el reinicio. Este navegador redirige una sesión web a través de los propios servidores de Tor en Europa, haciendo que su sesión sea más anónima.
El resultado fue un conjunto de preguntas mucho más agresivo. La primera vez que intenté restablecer la contraseña, simplemente las exploté y golpeé una pared de ladrillos. Lo intenté por segunda vez, y una vez que respondí las preguntas de forma correcta, me presentaron un enlace por correo electrónico a una página de reinicio. Cuando hice clic en ese enlace, dado que tengo configurada la verificación en dos pasos, se me presentó una demanda de un número proporcionado por la aplicación Google Authenticator en mi teléfono. Proporcioné ese número y solo entonces se me permitió restablecer la contraseña.
Esta experiencia me da más confianza en el proceso. Google, aunque falible, no es un gran corral corporativo lleno de idiotas. La seguridad de las contraseñas es una característica crítica del negocio de Google, y estoy seguro de que han pensado mucho sobre la mejor manera de permitir que los usuarios legítimos que son lo suficientemente inteligentes como para perder contraseñas puedan recuperarlas sin permitir que los ladrones se escapen con todo el Google cuentas
fuente
Es extraño que mi cuenta no muestre una opción de verificar su identidad mientras que la suya sí. Esta opción parece variar según el país o algún otro elemento.
Editar: Ha habido una queja similar en un foro de Google , aunque no hay solución además de la verificación en dos pasos.
No hay forma de deshabilitar la recuperación de contraseña de Google. He pasado por la configuración. Simplemente no hay manera. Y, basándose en una buena cantidad de investigación, "Verificar su identidad" tampoco se puede desactivar.
Parece que tiene una cuenta de YouTube separada con un nombre de usuario y contraseña separados. Tenga en cuenta que el procedimiento de recuperación de contraseña es diferente solo para YT en comparación con las cuentas de Google. Parece ser menos seguro.
Tienes varias opciones:
Enlace YouTube a su cuenta de Google
Si tiene una cuenta de YouTube separada, debería poder evitar ese problema vinculándola a su cuenta de Google como se describe aquí: http://support.google.com/youtube/bin/answer.py?hl=es&hlrm=de&answer = 69964
Luego, el mecanismo de recuperación de contraseña de Google se activa
Mover YouTube a Google Apps
El uso de Google Apps (incluso la versión gratuita) le permitiría crear un usuario sin derechos de administrador que, bajo ninguna circunstancia, puede restablecer su propia contraseña. Es similar a trabajar con una cuenta de usuario en Windows por razones de seguridad.
Aquí se muestra cómo transferir su cuenta de YouTube a una cuenta de Google Apps: http://support.google.com/youtube/bin/answer.py?hl=es&answer=1267449
Editar: posiblemente, una cuenta de Google Apps no presentaría la opción de recuperación "Verificar su identidad". No puedo verificar esto y no he encontrado evidencia de apoyo. Pero vale la pena intentarlo, ya que parece que no hay otra opción.
Habilitar la verificación en dos pasos
Habilitar la verificación en dos pasos mejorará su seguridad porque la contraseña por sí sola sería insuficiente para hackear su cuenta. Obviamente, esto solo funcionará después de vincular su cuenta de YouTube a una cuenta de Google.
fuente