일반 Google 계정과 다른 Google 계정에있는 YouTube 채널이 있습니다. 보안 암호가 있고 다른 전자 메일 주소가 설정되어 있지만 암호 복구 기능이 얼마나 안전한지, 정보를 거의 사용하지 않고도 액세스 할 수 있는지 알 수 있다고 생각했습니다.
10 분이 걸렸고 모든 권한을 가졌습니다. 그들은 내가 입력 한 이메일 주소로 비밀번호 재설정 링크를 보냈습니다. 또한 계정과 연결된 실제 주소로 다른 사람이 암호를 변경했음을 알리는 전자 메일을 보내지 않았습니다. !
이것이 내가 접근하기 위해해야 할 전부입니다.
- YouTube 사용자 이름을 입력하십시오.
- 신원 확인을 클릭합니다 .
- 나중에 답변이 마음에 들면 재설정 링크를 보낼 이메일 주소를 입력하십시오.
- 약 20 개의 질문에 대답하십시오.
첫 번째는 이것입니다 :
나는 완전히 임의의 단어를 입력했습니다.
나머지 질문의 대부분은 선택 사항이며 실제로 YouTube 채널에서 정보를 보면 쉽게 알아낼 수 있습니다. 예를 들어
- Google에 가입 한 날짜는 대략 언제입니까?
- 사용중인 Google 제품과 사용을 시작한시기를이 목록에서 선택하십시오.
결국 누군가가 답변을 검토하는 데 하루가 걸릴 수 있다고 말했지만 재설정 링크가 포함 된 전자 메일이 몇 분 안에 도착했습니다.
제 생각에는 이것이 참담하고 그들이 어떻게 그렇게 엉망으로 만들 수 있었는지 이해하지 못합니다. 이중 인증을 사용하지 않지만 이것이 약간의 차이가 있기를 바랍니다.
비밀번호를 변경하면 비밀번호가 특정 표준이되며 이전 비밀번호 사용을 차단하기도합니다. 누구나 쉽게 우회 할 수 있다면 이것은 모두 좋지만 완전히 무의미합니다.
‘마지막으로 기억하는 비밀번호’라는 주제
이는 Google이 계정 비밀번호를 일반 텍스트로 저장한다는 의미입니까? 그들이 해시를 만들고 있다면이 질문에 대한 대답이 어떻게 사용되는지 이해하지 못합니다. 입력 한 질문과 데이터베이스의 실제 질문이 얼마나 비슷한 지 알 수 없기 때문입니다.
여기 내 실제 질문이 있습니다!
전체 비밀번호 복구 시스템을 완전히 비활성화하는 방법이 있습니까? 아니면 ‘여러분의 신원 확인’비트를 비활성화하는 방법이 있습니까? 제 생각에는 처음에는 존재하지 않아야합니까? 최소한 옵트 인 기능이어야합니다.
또한 누구나 전화를 받고 확인 코드를 쉽게 얻을 수 있기 때문에 ‘수신 : 자동 전화 통화’옵션을 비활성화 할 수 있어야한다고 생각합니다. 설정 한 번호가 휴대 전화 인 경우 잠금 화면이 표시되어 임의의 사람들이 메시지를 읽을 수 없지만 전화가 걸려도 누구나 전화를받을 수 있습니다. 일부 휴대 전화에서는 새 텍스트를 미리 볼 수 있으므로주의해야합니다 (Google의 문제는 아님).
나는 그들이 요청이 일반적인 IP 주소에서 온 것이라는 사실을 사용했을 수도 있지만, 여전히 누군가의 계정을 잠금 해제하기에 충분한 정보 근처에 있다고 생각하지 않습니다.
답변
Google은 계정의 소유권을 확인하기 위해 비밀번호 재설정 과정에서 특별히 요청하지 않은 정보를 사용하고있을 것입니다. 특히, 컴퓨터에 저장된 토큰 및 IP 주소.
나는 당신과 비슷한 경험을했으며 처음에는 나를 놀라게했으며 Tor 브라우저를 사용하여 재설정을 수행하여 위의 이론을 테스트했습니다. 이 브라우저는 유럽의 Tor 자체 서버를 통해 웹 세션을 리디렉션하여 세션을보다 익명으로 만듭니다.
결과는 훨씬 더 공격적인 질문이었습니다. 처음으로 비밀번호를 재설정하려고 할 때 비밀번호를 끊어 벽돌 벽에 부딪 혔습니다. 두 번째로 시도했는데 질문에 약간 올바르게 대답하면 재설정 페이지에 대한 이메일 링크가 표시되었습니다. 해당 링크를 클릭하면 2 단계 인증이 설정되었으므로 휴대 전화의 Google OTP 앱에서 제공 한 번호가 필요했습니다. 해당 번호를 제공 한 후에 만 비밀번호를 재설정 할 수있었습니다.
이 경험을 통해 프로세스에 대한 확신을 갖게되었습니다. Google은 엉망이지만 바보로 가득 찬 거대한 기업 놀이장이 아닙니다. 비밀번호 보안은 Google 비즈니스의 중요한 기능이며, 비밀번호를 잊어 버린 합법적 인 사용자가 도둑이 모든 Google을 사용 하지 않고 비밀번호를 잊어 버릴 수 있도록 최선을 다하는 방법에 대해 오랫동안 열심히 생각했습니다. 계정.
답변
내 계정에 신원 확인 옵션이 표시되지 않는 것은 이상합니다. 이 옵션은 국가 또는 다른 항목에 따라 다릅니다.
편집 : Google 포럼 에서 유사한 불만 이 1 건 있지만 2 단계 인증 외에는 해결책이 없습니다.
Google 비밀번호 복구를 사용 중지 할 수있는 방법은 없습니다. 설정을 진행했습니다. 방법이 없습니다. 그리고 상당한 양의 연구에 따르면 “신원 확인”도 비활성화 할 수 없습니다.
별도의 사용자 이름과 비밀번호를 가진 별도의 YouTube 계정이있는 것 같습니다. 비밀번호 복구 절차는 Google 계정과 YT 만 다릅니다. 덜 안전 해 보입니다.
몇 가지 옵션이 있습니다.
YouTube를 Google 계정에 연결
별도의 YouTube 계정이있는 경우 http://support.google.com/youtube/bin/answer.py?hl=ko&hlrm=de&answer에 설명 된대로 해당 계정을 Google 계정에 연결하여 해당 문제를 우회 할 수 있습니다. = 69964
그런 다음 Google 비밀번호 복구 메커니즘이 시작됩니다.
YouTube를 Google Apps로 이동
Google Apps (무료 버전도 포함)를 사용하면 어떤 상황에서도 자신의 비밀번호를 재설정 할 수없는 관리자 권한이없는 사용자를 만들 수 있습니다. 보안상의 목적으로 Windows에서 사용자 계정을 사용하는 것과 유사합니다.
다음은 YouTube 계정을 Google Apps 계정으로 이전하는 방법입니다. http://support.google.com/youtube/bin/answer.py?hl=ko&answer=1267449
수정 : Google Apps 계정에는 ‘신원 확인’복구 옵션이 없습니다. 이를 확인할 수 없으며 지원 증거를 찾지 못했습니다. 그러나 다른 옵션이없는 것처럼 시도해 볼 가치가 있습니다.
2 단계 인증 사용
2 단계 인증을 사용 하면 비밀번호만으로는 계정을 해킹하기에 충분하지 않으므로 보안이 향상됩니다. 분명히 이것은 YouTube 계정을 Google 계정에 연결 한 후에 만 작동합니다.