Ich habe einen YouTube-Kanal, der sich unter einem anderen als meinem normalen Google-Konto befindet. Ich habe ein sicheres Kennwort und eine alternative E-Mail-Adresse eingerichtet, aber ich dachte, ich würde sehen, wie sicher die Kennwortwiederherstellungsfunktion ist und ob ich mit kaum Informationen Zugriff erhalten kann.
Es dauerte 10 Minuten und ich hatte vollen Zugang. Sie haben einen Link zum Zurücksetzen des Passworts an eine von mir eingegebene E-Mail-Adresse gesendet, die in keiner Weise mit meinem Konto verknüpft war. Sie haben mir auch nie eine E-Mail an die mit dem Konto verknüpfte Adresse gesendet, um mir mitzuteilen, dass das Passwort von einer anderen Person geändert wurde. Wenn also eine andere Person die Kontrolle über das Konto erlangt hätte, wäre ich nicht einmal darüber informiert worden !
Dies ist alles, was ich tun musste, um Zugang zu erhalten:
- Gib den YouTube-Nutzernamen ein.
- Klicken Sie auf Identität überprüfen .
- Geben Sie eine E-Mail-Adresse ein, an die sie später einen Link zum Zurücksetzen senden würden, wenn sie meine Antworten mochten.
- Beantworten Sie ca. 20 Fragen.
Der erste war dieser:
Ich habe ein völlig zufälliges Wort eingegeben.
Die meisten der übrigen Fragen sind optional und lassen sich ganz einfach herausfinden, indem Sie die Informationen auf dem YouTube-Kanal anzeigen. Beispielsweise,
- Wann sind Sie (ungefähr) zu Google gekommen?
- Wählen Sie aus dieser Liste die Google-Produkte aus, die Sie verwenden, und wann Sie sie verwenden.
Am Ende hieß es, es könne einen Tag dauern, bis jemand die Antworten überprüft habe, aber die E-Mail mit dem Link zum Zurücksetzen sei in den nächsten Minuten eingegangen.
Meiner Meinung nach ist das entsetzlich und ich verstehe nicht, wie sie so ein Durcheinander daraus gemacht haben könnten. Ich verwende keine Zwei-Faktor-Authentifizierung, aber ich hoffe, dass dies einen Unterschied macht.
Wenn Sie Ihr Passwort ändern, muss es einem bestimmten Standard entsprechen, und Sie können sogar keine vorherigen Passwörter verwenden. Das ist alles gut, aber völlig sinnlos, wenn es so leicht von irgendjemandem umgangen werden kann.
Zum Thema "Letztes Passwort, an das Sie sich erinnern"
Bedeutet dies, dass Google Kontokennwörter im Klartext speichert? Wenn sie Hashes erstellen, verstehen sie nicht, wie eine Antwort auf diese Frage für sie von Nutzen sein könnte, da sie keine Ahnung haben, wie ähnlich die eingegebene der tatsächlichen in der Datenbank ist.
Hier ist meine eigentliche Frage!
Gibt es eine Möglichkeit, das gesamte Kennwortwiederherstellungssystem zu deaktivieren? Oder gibt es eine Möglichkeit, nur das Bit "Verify your identity" zu deaktivieren, das meiner Meinung nach überhaupt nicht existieren sollte? Zumindest sollte es sich um eine Anmeldefunktion handeln.
Ich denke auch, dass Sie die Option "Empfangen über: ein automatisierter Anruf" deaktivieren sollten, da jeder das Telefon beantworten und den Bestätigungscode ganz einfach erhalten kann. Wenn die von Ihnen festgelegte Nummer Ihr Mobiltelefon ist, haben Sie wahrscheinlich einen Sperrbildschirm, sodass zufällige Personen Ihre Nachrichten nicht lesen können, aber jeder kann einen Anruf entgegennehmen, selbst wenn er gesperrt ist. Ich weiß, dass auf einigen Handys eine Vorschau neuer Texte angezeigt wird, daher müssen Sie auch darauf achten (aber das ist nicht das Problem von Google).
Mir ist auch klar, dass sie die Tatsache genutzt haben könnten, dass die Anfragen von der üblichen IP-Adresse stammten, aber ich denke immer noch nicht, dass dies annähernd genug Informationen sind, um das Konto für jemanden freizuschalten.
quelle
Antworten:
Wahrscheinlich verwendet Google Informationen, die nicht speziell von Ihnen beim Zurücksetzen des Passworts angefordert wurden, um Ihre Inhaberschaft des Kontos zu überprüfen. Insbesondere auf Ihrem Computer gespeicherte Token und Ihre IP-Adresse.
Ich hatte eine ähnliche Erfahrung wie Sie, die mich anfangs beunruhigte, und testete die obige Theorie mit dem Tor-Browser, um den Reset durchzuführen. Dieser Browser leitet eine Websitzung über Tors eigene Server in Europa um und macht Ihre Sitzung so anonym.
Das Ergebnis war eine viel aggressivere Reihe von Fragen. Beim ersten Versuch, das Passwort zurückzusetzen, habe ich sie einfach abgeblasen und gegen eine Mauer gestoßen. Ich habe es ein zweites Mal versucht, und nachdem ich die Fragen etwas korrekt beantwortet hatte, wurde mir ein Link per E-Mail zu einer Rücksetzseite angezeigt. Als ich auf diesen Link geklickt habe, wurde ich aufgefordert, eine von der Google Authenticator-App auf meinem Handy bereitgestellte Nummer einzugeben, da die Bestätigung in zwei Schritten eingerichtet wurde. Ich habe diese Nummer angegeben und erst dann durfte ich das Passwort zurücksetzen.
Diese Erfahrung gibt mir mehr Vertrauen in den Prozess. Obwohl Google fehlbar ist, ist es kein riesiger Firmenlaufstall voller Idioten. Die Passwortsicherheit ist ein wichtiges Merkmal des Geschäfts von Google, und ich bin sicher, dass sie lange überlegt haben, wie sie legitimen Nutzern, die so unbeholfen sind, Passwörter zu verlieren, am besten erlauben können, sie zurückzubekommen, ohne dass Diebe mit Google davonlaufen Konten.
quelle
Es ist seltsam, dass in meinem Konto keine Option zur Überprüfung Ihrer Identität angezeigt wird, während dies bei Ihnen der Fall ist. Diese Option scheint von Land zu Land oder von einem anderen Artikel zu variieren.
Bearbeiten: Es gab eine ähnliche Beschwerde in einem Google-Forum , aber keine Lösung außer der Bestätigung in zwei Schritten.
Es gibt keine Möglichkeit, die Wiederherstellung von Google-Passwörtern zu deaktivieren. Ich habe die Einstellungen durchgesehen. Es gibt einfach keinen Weg. Und "Verify your identity" kann, basierend auf einer Reihe von Nachforschungen, auch nicht deaktiviert werden.
Es sieht so aus, als hättest du ein separates YouTube-Konto mit einem separaten Benutzernamen und Passwort. Beachten Sie, dass sich das Verfahren zur Passwortwiederherstellung für YT-only im Vergleich zu Google-Konten unterscheidet. Es scheint weniger sicher zu sein.
Sie haben mehrere Möglichkeiten:
Verknüpfe YouTube mit deinem Google-Konto
Wenn Sie ein separates YouTube-Konto haben, können Sie dieses Problem umgehen, indem Sie es wie hier beschrieben mit Ihrem Google-Konto verknüpfen: http://support.google.com/youtube/bin/answer.py?hl=de&hlrm=de&answer = 69964
Dann setzt der Google-Mechanismus zur Passwortwiederherstellung ein
YouTube in Google Apps verschieben
Mit Google Apps (auch in der kostenlosen Version) können Sie einen Benutzer ohne Administratorrechte erstellen, der unter keinen Umständen sein eigenes Passwort zurücksetzen kann. Dies ähnelt dem Arbeiten mit einem Benutzerkonto unter Windows aus Sicherheitsgründen.
Hier wird gezeigt, wie Sie Ihr YouTube-Konto auf ein Google Apps-Konto übertragen: http://support.google.com/youtube/bin/answer.py?hl=de&answer=1267449
Bearbeiten: Möglicherweise verfügt ein Google Apps-Konto nicht über die Wiederherstellungsoption "Identität überprüfen". Ich kann dies nicht überprüfen und habe keine Belege dafür gefunden. Aber es ist einen Versuch wert, da es anscheinend keine andere Option gibt.
Aktivieren Sie die Bestätigung in zwei Schritten
Das Aktivieren der Bestätigung in zwei Schritten verbessert Ihre Sicherheit, da das Kennwort allein nicht ausreichen würde, um Ihr Konto zu hacken. Dies funktioniert natürlich nur, nachdem du dein YouTube-Konto mit einem Google-Konto verknüpft hast.
quelle