Googleのパスワード回復機能を無効にする方法はありますか?


13

私のYouTubeチャンネルは、通常のGoogleアカウントとは異なるGoogleアカウントの下にあります。安全なパスワードと代替の電子メールアドレスが設定されていますが、パスワード回復機能の安全性と、ほとんど情報を使用せずにアクセスできるかどうかがわかると思いました。

10分かかり、完全にアクセスできました。彼らは入力した電子メールアドレスにパスワードリセットリンクを送信しました。また、アカウントに関連付けられた実際のアドレスに電子メールを送信して、パスワードが他の誰かによって変更されたことを通知することもなかったため、他の誰かがアカウントの制御を取得した場合、そのことは通知されません!

これは、アクセスするために私がしなければならなかったすべてです:

  • YouTubeユーザー名を入力してください。
  • 本人確認をクリックします。

Googleパスワードヘルプオプション

  • 回答が気に入った場合にリセットリンクを送信する電子メールアドレスを入力します。
  • 約20の質問に答えます。

最初のものはこれでした:

覚えている最後のパスワードと最後にログインできたときのプロンプト

完全にランダムな単語を入力しました。

残りの質問のほとんどはオプションであり、実際にYouTubeチャンネルで情報を表示することで簡単に理解できます。例えば、

  • Googleに参加したのは(大体)何日ですか?
  • このリストから、使用するGoogle製品と使用開始時期を選択します。

最後に、誰かが答えを確認するのに1日かかる可能性があると述べましたが、リセットリンクが記載された電子メールは数分後に届きました。

私の意見では、これはぞっとするようなものであり、どうすればこのような混乱をもたらしたのか理解できません。私は二要素認証を使用しませんが、これが何らかの違いをもたらすことを望みます。

パスワードを変更すると、パスワードは特定の標準に強制され、以前のパスワードの使用もブロックされます。これはすべて良いことですが、誰でも簡単にバイパスできる場合は完全に無意味です。

「覚えている最後のパスワード」をテーマに

これは、Googleがアカウントパスワードをクリアテキストで保存しているということですか?彼らがハッシュを作成していた場合、入力されたものがデータベース内の実際のハッシュとどれほど類似しているかわからないため、この質問に対する答えがどのように役立つか理解できません。

これが私の実際の質問です!

パスワード回復システム全体を完全に無効にする方法はありますか?または、「個人情報の確認」ビットを無効にする方法はありますか?私の意見では、そもそも存在しないはずです 少なくともオプトイン機能である必要があります。

また、誰でも電話に応答して確認コードを簡単に取得できるため、「自動受信による経由で受信する」オプションを無効にできると考えています。設定した番号が携帯電話の場合は、ロック画面が表示されるため、ランダムな人はメッセージを読むことができませんが、ロックされていても誰でも電話に出ることができます。一部の携帯電話では新しいテキストのプレビューが表示されるため、同様に注意する必要があります(ただし、Googleの問題ではありません)。

リクエストが通常のIPアドレスからのものであるという事実を使用している可能性があることも認識していますが、これは誰かのアカウントのロックを解除するのに十分な情報とはまだ思えません。


そして、それを無効にして実際に必要になったらどうしますか?
アレックス

2
さて、あなたは立ち往生しています。そもそも忘れてはいけません!私はそれを無効にするオプションがあるべきだと思う。オプション(「身元の確認」の複数の選択肢を除く)は、個人的に追加した方法と、連絡するためにアクセスできるのは自分だけである方法を使用するためです。
トムジェンキンソン

1
あなたの質問は何ですか?私がここで見るのは、暴言です。
エール

2
パスワード回復システム全体をすべて無効にする方法はありますか?または、「本人確認」ビットを無効にする方法はありますか?
トムジェンキンソン

回答:


6

Googleは、アカウントの所有権を確認するために、パスワードリセットプロセス中に特に要求していない情報を使用している可能性があります。具体的には、コンピューターに保存されているトークンとIPアドレス。

私はあなたに似た経験をしましたが、最初は私を驚かせ、Torブラウザを使用してリセットを実行して上記の理論をテストしました。このブラウザは、ヨーロッパのTor独自のサーバーを介してWebセッションをリダイレクトし、セッションをより匿名にします。

その結果、より積極的な一連の質問ができました。初めてパスワードをリセットしようとしたとき、それらを吹き飛ばし、レンガの壁にぶつかりました。私はもう一度試しましたが、質問にある程度正しく答えると、リセットページへのリンクがメールで送信されました。そのリンクをクリックすると、2段階認証が設定されているため、携帯電話のGoogle認証システムアプリから提供される番号を要求されました。その番号を入力すると、パスワードをリセットすることが許可されました。

この経験により、プロセスに自信が持てます。Googleは間違いやすいものの、ばかでいっぱいの巨大な企業のベビーサークルではありません。パスワードセキュリティはGoogleのビジネスの重要な機能であり、泥棒がすべてのGoogleで逃げるの許さずにパスワードを紛失するほど巧妙な正当なユーザーを許可する最善の方法について、彼らは長い間懸命に考えていたと確信しています。アカウント。


2要素認証をバイパスまたは無視するために利用可能なオプションを試しましたか?オプションの1つが「2要素認証を有効にしなかった」ことを思い出します
Harald

4

私のアカウントでは、本人確認オプションが表示されているのに、本人確認オプションが表示されていないのは奇妙です。このオプションは、国やその他のアイテムによって異なるようです。

編集:Googleフォーラムで同様の苦情が1 件ありましたが、2段階認証以外の解決策はありませんでした。

Googleパスワードの回復を無効にする方法はありません。設定を完了しました。方法はありません。そして、かなりの量の調査に基づいて、「身元を確認する」ことも無効にできません。

別のユーザー名とパスワードを持つ別のYouTubeアカウントを持っているようです。パスワード復旧手順は、Googleアカウントと比較してYTのみの場合と異なります。安全性が低いようです。

いくつかのオプションがあります:

YouTubeをGoogleアカウントにリンクします

別のYouTubeアカウントをお持ちの場合は、http//support.google.com/youtube/bin/answer.py?hl = ja&hlrm = de& answerで説明されているように、Googleアカウントにリンクすることでその問題を回避できるはずです。= 69964

次に、Googleパスワード回復メカニズムが起動します

YouTubeをGoogle Appsに移動する

Google Apps(無料版でも)を使用すると、どのような状況でも自分のパスワードをリセットできない管理者権限のないユーザーを作成できます。これは、セキュリティ上の目的でWindowsでユーザーアカウントを操作することに似ています。

ここでは、YouTubeアカウントをGoogle Appsアカウントに移行する方法を示します:http : //support.google.com/youtube/bin/answer.py? hl=ja&answer=1267449

編集:おそらく、Google Appsアカウントには「本人確認」復旧オプションがありません。これを確認することはできず、サポートの証拠は見つかりませんでした。しかし、他に選択肢はないようですので、試してみる価値があります。

2段階認証を有効にする

2段階認証プロセスを有効にすると、パスワードだけではアカウントをハッキングするには不十分になるため、セキュリティが向上します。明らかに、これはYouTubeアカウントをGoogleアカウントにリンクした後にのみ機能します。


1
ありがとう。既にGoogleアカウントにリンクされています。メインアカウントのパスワードをいつでもリセットできるので、限られた特権を持つ新しいユーザーを作成することがどのように役立つかわかりません。2段階認証を有効にしましたが、設定した追加のセキュリティが機能しない場合に備えて、「IDを確認する」オプションを引き続き使用できます。オブジェクト。必要なのは、「IDの確認」オプションを無効にするオプションだけです。ほとんどのサイトにはこれがなく、電子メールには常にアクセスできるので、私は決してそれを使用しません。
トムジェンキンソン

Googleに連絡する方法があるかどうか知っていますか?
トムジェンキンソン

私が知っていることはありません(あなたが有料の顧客でない限り-adWordsとGoogle Apps for Business)。この問題は、最近ここに覆われていた:webapps.stackexchange.com/questions/3716/...
ユーザー99572で結構です

@TomJenkinson私は答えを広げました。「IDの確認」(VYI)とパスワード回復の違いを把握できなかったのは残念です。質問:VYIでも2段階認証プロセスをバイパスできましたか?
ユーザー99572は

2
携帯電話にアクセスできないと言ったオプションを選択することで、以前と同じようにプロセスを再度実行しました(VYIに移動しました)。2段階認証に関するヘルプページへのリンクが記載された電子メールを受け取りましたが、まだ問題がある場合は返信がありました。これは彼らが私にすぐにリンクを送った前と同じように有望に見える。返信して、ログインできないと言ったので、リセットリンクを送信してもらうことができたらここに投稿します。
トムジェンキンソン
弊社のサイトを使用することにより、あなたは弊社のクッキーポリシーおよびプライバシーポリシーを読み、理解したものとみなされます。
Licensed under cc by-sa 3.0 with attribution required.