web-dev-qa-db-ja.com

Googleのパスワード回復機能を無効にする方法はありますか?

私のYouTubeチャンネルは、通常のGoogleアカウントとは別のGoogleアカウントの下にあります。安全なパスワードと代替の電子メールアドレスが設定されていますが、パスワード回復機能の安全性と、ほとんど情報がなくてもアクセスできるかどうかがわかると思いました。

10分かかり、フルアクセスできました。パスワードリセットリンクを、何らかの方法でアカウントに関連付けられたことのない、入力した電子メールアドレスに送信しました。また、他の誰かがパスワードを変更したことを伝えるために、アカウントに関連付けられた実際のアドレスに電子メールを送信することもなかったため、他の誰かがアカウントの制御を取得した場合、通知されることもありませんでした!

これは、アクセスするために私がしなければならなかったすべてです:

  • YouTubeユーザー名を入力します。
  • IDの確認をクリックします。

Google password help options

  • 回答が気に入った場合にリセットリンクを送信する電子メールアドレスを入力します。
  • 約20の質問に答えます。

最初のものはこれでした:

Form prompting for last password you remember and last time you were able to log in

完全にランダムなWordを入力しました。

残りの質問のほとんどはオプションであり、YouTubeチャンネルで実際に情報を表示することで簡単に理解できます。例えば、

  • Googleに参加したのは(大体)何日ですか?
  • このリストから、使用するGoogle製品と使用開始時期を選択します。

最後に、誰かが答えを確認するのに1日かかる可能性があると述べましたが、リセットリンクを含む電子メールは数分後に届きました。

私の意見では、これはぞっとするようなものであり、どのようにしてこのような混乱をもたらしたのか理解できません。私は二要素認証を使用しませんが、これが何らかの違いをもたらすことを望みます。

パスワードを変更すると、パスワードが特定の標準に強制され、以前のパスワードの使用がブロックされます。これはすべて良いことですが、誰でも簡単にバイパスできる場合は完全に無意味です。

「覚えている最後のパスワード」をテーマに

これは、Googleがアカウントパスワードをクリアテキストで保存しているということですか?彼らがハッシュを作成していた場合、入力されたものがデータベース内の実際のハッシュとどれほど類似しているかわからないため、この質問に対する答えがどのように役立つか理解できません。

これが私の実際の質問です!

パスワード回復システム全体を完全に無効にする方法はありますか?または、「個人情報の確認」ビットを無効にする方法はありますか?私の意見では、そもそも存在しないはずです。少なくともオプトイン機能である必要があります。

また、誰でも電話に応答して確認コードを簡単に取得できるため、「自動受信による経由で受信する」オプションを無効にできると考えています。設定した番号が携帯電話の場合は、ロック画面が表示されるため、ランダムな人はメッセージを読むことができませんが、ロックされていても誰でも電話に出ることができます。一部の携帯電話では新しいテキストのプレビューが表示されるため、同様に注意する必要があります(ただし、Googleの問題ではありません)。

リクエストが通常のIPアドレスからのものであるという事実を利用した可能性があることも認識していますが、これは誰かのアカウントのロックを解除するのに十分な情報に近いとはまだ思いません。

google-accountsecurityaccount-managementaccount-recovery
13
Tom Jenkinson

Googleは、アカウントの所有権を確認するために、パスワードリセットプロセス中に特に要求していない情報を使用している可能性があります。具体的には、コンピューターに保存されているトークンとIPアドレス。

私はあなたに似た経験をしましたが、最初は私を驚かせ、Torブラウザを使用してリセットを実行して上記の理論をテストしました。このブラウザは、ヨーロッパのTor独自のサーバーを介してWebセッションをリダイレクトし、セッションをより匿名にします。

その結果、より積極的な一連の質問が作成されました。初めてパスワードをリセットしようとしたとき、私はそれらを吹き飛ばし、レンガの壁にぶつかりました。私はもう一度試しましたが、質問にある程度正しく答えると、リセットページへのリンクがメールで送信されました。そのリンクをクリックすると、2段階認証が設定されているため、携帯電話のGoogle認証システムアプリから提供される番号の要求が表示されました。私はその番号を提供し、それからパスワードをリセットすることを許可されました。

この経験により、プロセスに自信が持てます。 Googleは間違いやすいものの、ばかでいっぱいの巨大な企業のベビーサークルではありません。パスワードセキュリティはGoogleのビジネスの重要な機能であり、パスワードを紛失するほど巧妙な正当なユーザーがパスワードを取り戻すことができるようにする最善の方法について長い間考えてきたと確信していますwithout泥棒を許可するすべてのGoogleアカウントで実行できます。

6
Carl

私のアカウントでは、本人確認オプションが表示されているのに、本人確認オプションが表示されていないのは奇妙です。このオプションは、国やその他のアイテムによって異なるようです。

編集:1つの類似した Googleフォーラムに関する苦情 がありましたが、2段階認証以外の解決策はありませんでした。

Googleパスワードの回復を無効にする方法はありません。設定を完了しました。方法はありません。また、かなりの量の調査に基づいて、「身元を確認する」ことも無効にできません。

別のユーザー名とパスワードを持つ別のYouTubeアカウントを持っているようです。パスワード回復手順は、Googleアカウントと比較してYTのみの場合と異なります。安全性が低いようです。

いくつかのオプションがあります:

YouTubeをGoogleアカウントにリンクします

別のYouTubeアカウントをお持ちの場合は、こちらで説明されているようにGoogleアカウントにリンクすることで、この問題を回避できるはずです。 http://support.google.com/youtube/bin/answer.py?hl = en&hlrm = de&answer = 69964

次に、Googleパスワード回復メカニズムが起動します

YouTubeをGoogle Appsに移動する

Google Appsを使用すると(無料バージョンでも)、管理者権限のないユーザーを作成できますが、どのような状況でも自分のパスワードをリセットすることはできません。これは、セキュリティ上の目的でWindowsでユーザーアカウントを操作することに似ています。

ここでは、YouTubeアカウントをGoogle Appsアカウントに移行する方法を示します。 http://support.google.com/youtube/bin/answer.py?hl=ja&answer=1267449

編集:おそらく、Google Appsアカウントには「本人確認」復旧オプションがありません。これを確認することはできず、サポートの証拠は見つかりませんでした。しかし、他に選択肢はないようですので、試してみる価値があります。

2段階認証を有効にする

2段階認証プロセスを有効にする は、パスワードだけではアカウントをハッキングするには不十分であるため、セキュリティが向上します。明らかに、これは、YouTubeアカウントをGoogleアカウントにリンクした後にのみ機能します。

4
user 99572 is fine