Saya memiliki saluran YouTube yang berada di bawah akun Google yang berbeda dengan saluran normal saya. Saya memiliki kata sandi aman, dan alamat email alternatif disiapkan, tetapi saya pikir saya akan melihat seberapa aman fitur pemulihan kata sandi itu dan apakah saya dapat memperoleh akses dengan informasi yang nyaris tidak ada.
Butuh waktu 10 menit dan saya memiliki akses penuh. Mereka mengirim tautan setel ulang kata sandi ke alamat email yang saya masukkan yang tidak pernah dikaitkan dengan akun saya dengan cara apa pun. Mereka juga tidak pernah mengirimi saya email di alamat aktual yang terkait dengan akun tersebut untuk memberi tahu saya bahwa kata sandi telah diubah oleh orang lain, jadi jika orang lain mendapatkan kendali atas akun tersebut, saya bahkan tidak akan diberi tahu mengenai hal itu. !
Ini yang harus saya lakukan untuk mendapatkan akses:
- Masukkan nama pengguna YouTube.
- Klik Verifikasi identitas .
- Masukkan alamat email yang nantinya akan mereka kirimkan tautan reset jika mereka menyukai jawaban saya.
- Jawab sekitar 20 pertanyaan.
Yang pertama adalah ini:
Saya memasukkan kata yang sepenuhnya acak.
Sebagian besar sisa pertanyaan bersifat opsional dan dapat dipecahkan dengan sangat mudah dengan benar-benar melihat info di saluran YouTube. Sebagai contoh,
- Tanggal berapa (kira-kira) Anda bergabung dengan Google?
- Pilih dari daftar ini produk Google yang Anda gunakan dan kapan Anda mulai menggunakannya.
Pada akhirnya dikatakan bahwa perlu satu hari bagi seseorang untuk meninjau jawaban, tetapi email dengan tautan reset masuk dalam beberapa menit berikutnya.
Menurut pendapat saya ini mengerikan dan saya tidak mengerti bagaimana mereka bisa mengacaukannya. Saya tidak menggunakan otentikasi dua faktor, tetapi saya berharap ini akan membuat beberapa perbedaan.
Ketika Anda mengubah kata sandi Anda, mereka memaksanya untuk menjadi standar tertentu, dan mereka bahkan memblokir Anda dari menggunakan kata sandi sebelumnya. Ini semua baik tetapi sama sekali tidak ada gunanya jika bisa dilewati oleh siapa saja dengan mudah.
Mengenai masalah 'kata sandi terakhir yang Anda ingat'
Apakah ini berarti bahwa Google menyimpan kata sandi akun dalam teks yang jelas? Jika mereka membuat hash maka tidak mengerti bagaimana jawaban untuk pertanyaan ini akan berguna bagi mereka karena mereka tidak tahu seberapa mirip yang dimasukkan dengan yang sebenarnya di database.
Inilah pertanyaan saya yang sebenarnya!
Apakah ada cara menonaktifkan seluruh sistem pemulihan kata sandi? Atau adakah cara untuk menonaktifkan bit 'Verifikasi identitas Anda', yang menurut saya seharusnya tidak ada? Setidaknya harus menjadi fitur opt-in.
Saya juga berpikir mereka harus memungkinkan Anda untuk menonaktifkan opsi 'Terima via: panggilan telepon otomatis' karena siapa pun dapat menjawab telepon dan mendapatkan kode konfirmasi dengan sangat mudah. Jika nomor yang Anda atur adalah ponsel Anda, Anda mungkin akan memiliki layar kunci sehingga orang-orang acak tidak dapat membaca pesan Anda, tetapi siapa pun dapat menjawab panggilan telepon meskipun itu terkunci. Saya tahu bahwa beberapa ponsel menampilkan pratinjau teks baru sehingga Anda juga harus berhati-hati (tetapi itu bukan masalah Google).
Saya menyadari juga bahwa mereka mungkin menggunakan fakta bahwa permintaan tersebut berasal dari alamat IP yang biasa, tetapi saya masih berpikir ini bukan info yang cukup dekat untuk membuka kunci akun seseorang.