J'ai une chaîne YouTube qui est sous un compte Google différent de mon compte habituel. J'ai un mot de passe sécurisé avec celui-ci et une adresse électronique alternative configurée, mais je pensais que je verrais à quel point la fonction de récupération du mot de passe était sécurisée et si je pouvais y accéder avec à peu près aucune information.
Cela m'a pris 10 minutes et j'ai eu un accès complet. Ils ont envoyé un lien de réinitialisation de mot de passe à une adresse e-mail que j'ai entrée et qui n'a jamais été associée à mon compte. De plus, ils ne m'ont jamais envoyé de courrier électronique à l'adresse réelle associée au compte pour me dire que le mot de passe avait été modifié par quelqu'un d'autre. Par conséquent, si quelqu'un d'autre avait pris le contrôle du compte, je n'aurais même pas été informé de celui-ci. !
C'est tout ce que je devais faire pour obtenir un accès:
Le premier était ceci:
Je suis entré dans un mot complètement aléatoire.
La plupart des autres questions sont facultatives et peuvent être résolues très facilement en affichant les informations sur la chaîne YouTube. Par exemple,
À la fin, il a été indiqué qu’une révision des réponses pouvait prendre un jour, mais l’e-mail contenant le lien de réinitialisation est arrivé dans les minutes qui ont suivi.
À mon avis, c'est épouvantable et je ne comprends pas comment ils auraient pu le gâcher. Je n'utilise pas l'authentification à deux facteurs, mais j'espère que cela ferait une différence.
Lorsque vous modifiez votre mot de passe, ils le forcent à respecter un certain standard et vous empêchent même d'utiliser les mots de passe précédents. Tout cela est bon mais complètement inutile s'il peut être contourné aussi facilement par quiconque.
Cela signifie-t-il que Google stocke les mots de passe de compte en texte clair? S'ils créaient des hachages, ils ne comprenaient pas en quoi une réponse à cette question leur serait d'aucune utilité, car ils n'auraient aucune idée de la similitude de la valeur entrée avec celle de la base de données.
Existe-t-il un moyen de désactiver complètement le système de récupération de mot de passe? Ou existe-t-il un moyen de désactiver simplement le bit "Vérifiez votre identité", qui, à mon avis, ne devrait même pas exister? Il devrait au moins être une fonctionnalité opt-in.
Je pense aussi qu'ils devraient vous permettre de désactiver l'option "Recevoir via: un appel téléphonique automatisé" car tout le monde peut répondre au téléphone et obtenir le code de confirmation très facilement. Si le numéro que vous avez défini est votre mobile, vous aurez probablement un écran de verrouillage pour que des personnes aléatoires ne puissent pas lire vos messages, mais tout le monde peut répondre à un appel téléphonique même s'il est verrouillé. Je sais que certains téléphones affichent un aperçu des nouveaux textes, vous devez donc également faire attention à cela (mais ce n'est pas le problème de Google).
Je me rends compte également qu'ils ont peut-être utilisé le fait que les demandes provenaient de l'adresse IP habituelle, mais je ne pense toujours pas que cette information soit suffisamment proche pour permettre de déverrouiller le compte de quelqu'un.
Google utilise probablement des informations qu'il ne vous a pas spécifiquement demandées lors du processus de réinitialisation du mot de passe afin de vérifier votre propriété du compte. Plus précisément, les jetons stockés sur votre ordinateur et votre adresse IP.
J'ai eu une expérience similaire à la vôtre, ce qui m'a d'abord alarmé et j'ai testé la théorie ci-dessus en utilisant le navigateur Tor pour effectuer la réinitialisation. Ce navigateur redirige une session Web via les propres serveurs de Tor en Europe, rendant votre session plus anonyme.
Le résultat a été un ensemble de questions beaucoup plus agressif. La première fois que j'ai tenté de réinitialiser le mot de passe, je les ai simplement supprimés et je me suis heurté à un mur de briques. J'ai essayé une deuxième fois, et une fois que j'avais répondu aux questions un peu correctement, on m'a présenté un lien envoyé par courrier électronique à une page de réinitialisation. Lorsque j'ai cliqué sur ce lien, la configuration en deux étapes étant configurée, un numéro fourni par l'application Google Authenticator de mon téléphone m'a été demandé. J'ai fourni ce numéro et c'est seulement à ce moment-là que j'ai été autorisé à réinitialiser le mot de passe.
Cette expérience me donne plus de confiance dans le processus. Bien que faillible, Google n’est pas un immense parc d’entreprise rempli d’idiots. La sécurité des mots de passe est une caractéristique essentielle des activités de Google. Je suis convaincu qu'ils ont longuement réfléchi à la meilleure façon de permettre aux utilisateurs légitimes qui en ont assez de perdre leurs mots de passe pour les récupérer sans permettant aux voleurs de s'enfuir avec tous les comptes Google.
Il est étrange que mon compte n’affiche pas d’option de vérification de votre identité alors que la vôtre l’a fait. Cette option semble varier selon les pays ou un autre élément.
Modifier: Il y en a eu un semblable plainte sur un forum Google , bien qu'aucune solution en dehors de la vérification en deux étapes.
Il n'y a aucun moyen de désactiver la récupération de mot de passe Google. J'ai parcouru les paramètres. C'est tout simplement impossible. Et, sur la base de nombreuses recherches, "Vérifiez votre identité" ne peut pas non plus être désactivé.
Il semble que vous ayez un compte YouTube distinct avec un nom d'utilisateur et un mot de passe distincts. Notez que la procédure de récupération du mot de passe est différente pour YT uniquement par rapport aux comptes Google. Il semble être moins sécurisé.
Vous avez plusieurs options:
Si vous possédez un compte YouTube distinct, vous devriez pouvoir contourner ce problème en le liant à votre compte Google, comme indiqué ci-après: http://support.google.com/youtube/bin/answer.py?hl = en & hlrm = de & answer = 69964
Ensuite, le mécanisme de récupération du mot de passe Google entre en jeu.
L'utilisation de Google Apps (même la version gratuite) vous permettrait de créer un utilisateur sans droits d'administrateur qui ne peut en aucun cas réinitialiser son propre mot de passe. Cela revient à travailler avec un compte utilisateur sous Windows pour des raisons de sécurité.
Voici comment transférer votre compte YouTube vers un compte Google Apps: http://support.google.com/youtube/bin/answer.py?hl=fr&answer=1267449
Modifier: Il est possible qu'un compte Google Apps ne comporte pas l'option de récupération "Vérifiez votre identité". Je ne peux pas le vérifier et je n'ai trouvé aucune preuve à l'appui. Mais cela vaut la peine d'essayer car il semble n'y avoir aucune autre option.
Activer la vérification en deux étapes améliorera votre sécurité car le mot de passe seul ne serait pas suffisant pour pirater votre compte. De toute évidence, cela ne fonctionnera qu'après avoir lié votre compte YouTube à un compte Google.