Normal kanalımdan farklı bir Google hesabı altındaki bir YouTube kanalım var. Onunla güvenli bir şifre ve alternatif bir e-posta adresi ayarladım, ancak şifre kurtarma özelliğinin ne kadar güvenli olduğunu ve neredeyse hiç bilgi ile erişip erişemeyeceğimi düşündüm.
Bana 10 dakika sürdü ve tam erişim vardı. Hiçbir zaman hesabımla hiçbir şekilde ilişkilendirilmemiş bir e-posta adresine bir şifre sıfırlama bağlantısı gönderdiler. Ayrıca, bana şifrenin başka biri tarafından değiştirildiğini söylemek için hesapla ilişkili gerçek adrese asla bir e-posta göndermediler, bu yüzden başka biri hesabın kontrolünü ele geçirmiş olsaydı bile bundan haberdar olmazdım !
Erişim sağlamak için tek yapmam gereken buydu:
- YouTube kullanıcı adını girin.
- Kimliği doğrula'yı tıklayın .
- Yanıtlarımı beğenmiş olmaları durumunda daha sonra bir sıfırlama bağlantısı gönderecekleri bir e-posta adresi girin.
- 20 soruya cevap verin.
Birincisi şuydu:
Tamamen rastgele bir kelime girdim.
Geri kalan soruların çoğu isteğe bağlıdır ve bilgileri YouTube kanalında görüntüleyerek gerçekten kolayca çözülebilir. Örneğin,
- Google'a hangi tarihte (kabaca) katıldınız?
- Bu listeden kullandığınız Google ürünlerini ve ne zaman kullanmaya başladığınızı seçin.
Sonunda birisinin cevapları gözden geçirmesinin bir gün alabileceğini, ancak sıfırlama bağlantısına sahip e-postanın önümüzdeki birkaç dakika içinde geldiğini söyledi.
Benim düşünceme göre bu korkunç ve nasıl böyle bir karmaşa yaptığını anlamıyorum. İki faktörlü kimlik doğrulama kullanmıyorum, ancak bunun biraz fark yaratacağını umuyorum.
Parolanızı değiştirdiğinizde, belirli bir standartta olmaya zorlarlar ve hatta önceki parolaları kullanmanızı engellerler. Bu herkes iyi ama tamamen anlamsızdır, eğer herkes tarafından kolayca atlanabilirse.
'Hatırladığınız son şifre' konusunda
Bu, Google'ın hesap şifrelerini düz metin olarak sakladığı anlamına mı geliyor? Karma oluşturuyorlarsa, bu sorunun cevabının kendileri için nasıl bir faydası olacağını anlamayın, çünkü girilen kişinin veritabanındaki gerçek soruya ne kadar benzediğine dair hiçbir fikirleri yoktur.
İşte asıl sorum!
Tüm şifre kurtarma sistemini tamamen devre dışı bırakmanın bir yolu var mı? Yoksa sadece 'Kimliğinizi doğrulayın' bitini devre dışı bırakmanın bir yolu var mı, bence ilk başta var olmamalı mı? En azından bir tercih özelliği olmalıdır.
Ayrıca, 'Telefonu al: otomatik telefon görüşmesi' seçeneğini devre dışı bırakmanıza izin vermeleri gerektiğini düşünüyorum çünkü herkes telefona cevap verebilir ve onay kodunu gerçekten kolayca alabilir. Ayarladığınız numara cep telefonunuzsa, muhtemelen bir kilit ekranına sahip olursunuz, böylece rastgele insanlar mesajlarınızı okuyamaz, ancak kilitli olsa bile herkes bir aramayı cevaplayabilir. Bazı telefonların yeni metinlerin önizlemesini gösterdiğini biliyorum, bu yüzden buna da dikkat etmelisiniz (ancak bu Google'ın sorunu değil).
Ben de istekleri her zamanki IP adresinden olduğu gerçeğini kullanmış olabilir biliyorum, ama yine de bunun birisi için hesabın kilidini açmak için yeterli bilgi yakın olduğunu sanmıyorum.