मेरा एक YouTube चैनल है जो मेरे सामान्य से भिन्न Google खाते के अंतर्गत है। मेरे पास इसके साथ एक सुरक्षित पासवर्ड है, और एक वैकल्पिक ई-मेल पता सेट है, लेकिन मैंने सोचा कि मैं देखूंगा कि पासवर्ड रिकवरी सुविधा कितनी सुरक्षित थी और क्या मैं शायद ही किसी भी जानकारी के साथ पहुंच प्राप्त कर सका।
इसमें मुझे 10 मिनट लगे और मेरी पूरी पहुंच थी। उन्होंने मेरे द्वारा दर्ज किए गए ई-मेल पते पर एक पासवर्ड रीसेट लिंक भेजा, जो किसी भी तरह से मेरे खाते से संबद्ध नहीं है। उन्होंने मुझे यह बताने के लिए खाते के साथ जुड़े वास्तविक पते पर कभी भी ई-मेल नहीं भेजा कि मुझे पासवर्ड किसी और द्वारा बदल दिया गया था, इसलिए यदि किसी और ने खाते पर नियंत्रण प्राप्त कर लिया होता तो मुझे इसकी सूचना नहीं दी जाती। !
यह सब मुझे एक्सेस करने के लिए करना था:
- YouTube उपयोगकर्ता नाम दर्ज करें।
- पहचान सत्यापित करें पर क्लिक करें ।
- एक ई-मेल पता दर्ज करें जो बाद में उन्हें मेरे जवाब पसंद आने पर रीसेट लिंक भेजेगा।
- 20 प्रश्नों के उत्तर दें।
पहला यह था:
मैंने एक पूरी तरह से यादृच्छिक शब्द दर्ज किया।
बाकी के अधिकांश प्रश्न वैकल्पिक हैं और वास्तव में YouTube चैनल की जानकारी देखकर वास्तव में आसानी से पता लगाया जा सकता है। उदाहरण के लिए,
- आपने Google को किस दिनांक (मोटे तौर पर) में शामिल किया?
- इस सूची में से उन Google उत्पादों का चयन करें जिनका आप उपयोग करते हैं और जब आपने उनका उपयोग शुरू किया था।
अंत में यह कहा गया कि किसी को जवाबों की समीक्षा करने में एक दिन लग सकता है, लेकिन रीसेट लिंक के साथ ई-मेल अगले कुछ मिनटों में आया।
मेरी राय में यह भयावह है और मुझे समझ नहीं आता कि वे इस तरह की गड़बड़ी कैसे कर सकते थे। मैं दो-कारक प्रमाणीकरण का उपयोग नहीं करता, लेकिन मुझे उम्मीद है कि इससे कुछ फर्क पड़ेगा।
जब आप अपना पासवर्ड बदलते हैं तो वे इसे एक निश्चित मानक के लिए बाध्य करते हैं, और वे आपको पिछले पासवर्ड का उपयोग करने से भी रोकते हैं। यह सब अच्छा है लेकिन पूरी तरह से व्यर्थ है अगर इसे इतनी आसानी से किसी के द्वारा भी बायपास किया जा सकता है।
'अंतिम पासवर्ड जो आपको याद है' के विषय पर
क्या इसका मतलब यह है कि Google स्पष्ट पाठ में खाता पासवर्ड संग्रहीत कर रहा है? अगर वे हैश बना रहे थे तो समझ में नहीं आता कि इस सवाल का जवाब उनके लिए किसी काम का कैसे होगा क्योंकि उन्हें इस बात का कोई अंदाजा नहीं होगा कि जो दर्ज किया गया था वह डेटाबेस में वास्तविक एक जैसा कैसे था।
यहाँ मेरा वास्तविक प्रश्न है!
क्या संपूर्ण पासवर्ड रिकवरी सिस्टम को पूरी तरह से अक्षम करने का एक तरीका है? या फिर 'अपनी पहचान सत्यापित करें' को अक्षम करने का एक तरीका है, जो मेरी राय में पहले स्थान पर भी नहीं होना चाहिए? यह कम से कम एक ऑप्ट-इन फीचर होना चाहिए।
मुझे यह भी लगता है कि उन्हें आपको 'प्राप्त करें: एक स्वचालित फोन कॉल' विकल्प को निष्क्रिय करने की अनुमति देनी चाहिए क्योंकि कोई भी फोन का जवाब दे सकता है और पुष्टि कोड वास्तव में आसानी से प्राप्त कर सकता है। यदि आपके द्वारा सेट किया गया नंबर आपका मोबाइल है, तो आपके पास संभवतः लॉक स्क्रीन होगी ताकि यादृच्छिक लोग आपके संदेशों को नहीं पढ़ सकें, लेकिन कोई भी फोन कॉल का जवाब दे सकता है, भले ही वह लॉक हो। मुझे पता है कि कुछ फोन नए ग्रंथों का पूर्वावलोकन दिखाते हैं, इसलिए आपको इससे सावधान रहना होगा (लेकिन यह Google की समस्या नहीं है)।
मुझे एहसास है कि उन्होंने इस तथ्य का इस्तेमाल किया होगा कि अनुरोध सामान्य आईपी पते से थे, लेकिन मुझे अभी भी नहीं लगता कि यह किसी के लिए खाता अनलॉक करने के लिए पर्याप्त जानकारी के पास कहीं भी है।