Eu tenho um canal do YouTube em uma conta do Google diferente da minha normal. Eu tenho uma senha segura e um endereço de email alternativo configurado, mas achei que veria o quão seguro era o recurso de recuperação de senha e se eu poderia obter acesso com quase nenhuma informação.
Levei 10 minutos e eu tive acesso total. Eles enviaram um link de redefinição de senha para um endereço de e-mail que eu inseri que nunca foi associado à minha conta de forma alguma. Eles também nunca me enviaram um e-mail no endereço real associado à conta para me informar que a senha havia sido alterada por outra pessoa; portanto, se alguém tivesse ganhado o controle da conta, eu nem teria sido notificado dela !
Era tudo o que eu precisava fazer para ter acesso:
- Digite o nome de usuário do YouTube.
- Clique em Verificar identidade .
- Digite um endereço de e-mail para o qual eles enviariam posteriormente um link de redefinição, se gostassem das minhas respostas.
- Responda cerca de 20 perguntas.
O primeiro foi este:
Eu digitei uma palavra completamente aleatória.
A maioria das outras perguntas é opcional e pode ser resolvida com muita facilidade, visualizando as informações no canal do YouTube. Por exemplo,
- Em que data (aproximadamente) você entrou no Google?
- Selecione nesta lista os produtos do Google que você usa e quando começou a usá-los.
No final, dizia que poderia levar um dia para alguém revisar as respostas, mas o e-mail com o link de redefinição chegou nos próximos minutos.
Na minha opinião, isso é terrível e eu não entendo como eles poderiam ter feito uma bagunça. Não uso autenticação de dois fatores, mas espero que isso faça alguma diferença.
Quando você altera sua senha, eles o forçam a ter um determinado padrão e até impedem que você use senhas anteriores. Tudo isso é bom, mas completamente inútil, se puder ser contornado por alguém com tanta facilidade.
Sobre o assunto da 'última senha que você lembra'
Isso significa que o Google está armazenando senhas de contas em texto não criptografado? Se eles estavam criando hashes, então não entendam como seria útil uma resposta para essa pergunta, pois eles não têm idéia de quão semelhante a entrada foi à atual no banco de dados.
Aqui está a minha pergunta real!
Existe uma maneira de desativar todo o sistema de recuperação de senha? Ou existe uma maneira de apenas desativar o bit 'Verifique sua identidade', que na minha opinião nem deveria existir em primeiro lugar? Deve ser pelo menos um recurso de aceitação.
Também acho que eles devem permitir que você desative a opção 'Receber via: uma ligação telefônica automatizada', porque qualquer pessoa pode atender o telefone e obter o código de confirmação com muita facilidade. Se o número que você definiu for o seu celular, você provavelmente terá uma tela de bloqueio para que pessoas aleatórias não possam ler suas mensagens, mas qualquer pessoa poderá atender uma ligação mesmo que ela esteja bloqueada. Eu sei que alguns telefones mostram uma prévia de novos textos, então você também deve tomar cuidado com isso (mas isso não é problema do Google).
Percebo também que eles podem ter usado o fato de que as solicitações eram do endereço IP habitual, mas ainda não acho que isso esteja próximo de informações suficientes para desbloquear a conta de alguém.