Gmail 密碼找回只需要曾用密碼即可,這不會很不安全嗎?
我單單用曾用密碼就輕易將自己的gmail賬號重置密碼,並且可以修改綁定郵箱和手機不需要任何驗證。這樣算是漏洞嗎?
我試了三次,有一次是需要更多詳細信息,有兩次只是需要曾用密碼以及我胡亂填的賬號創建時間和最後登錄時間就可以重置密碼。
就我所做的幾次試驗而言,gmail的密碼找回機制是否太弱?或者還是我在那一步出錯了?按道理谷歌這麼大的一公司不可能那麼不嚴謹吧。
先給結論,@Taerg 答案的猜測沒錯,Google賬號風險分析系統會參考一百多個因素來評定你賬號的安全性。
Every time you sign in to Google, whether via your web browser once a month or an email program that checks for new mail every five minutes, our system performs a complex risk analysis to determine how likely it is that the sign-in really comes from you. In fact, there are more than 120 variables that can factor into how a decision ision is made.
以上來自Google安全官方博客。
我已知的主要因素有 IP,登錄地,登錄時間,操作系統,瀏覽器版本,系統語言,Google語言,近期賬號活動,操作行為,是否重新登陸,是否有輸入錯密碼情況。
Google根據賬號風險等級會有不同級別的驗證要求:
最低等級的異常,建議輸入手機/備用郵箱驗證,但允許跳過,如果跳過了下次登錄會發送一份郵件提醒,給出異常登錄地點和IP。
第二級別的異常,強制要求輸入手機/備用郵箱/安全問題,不能跳過,但只要輸入對了就行,下次登錄依然會發郵件提醒。如下(這張圖網上搜的,比較老,後來變了樣子):
第三級別的異常,必須手機簡訊/語音驗證,而且手機號碼不給提示。如下:
第四級別的異常是直接禁止訪問的,需要人工申訴,不過不清楚是不是那個賬號本身被舉報了…這個圖沒截,以後有機會補。
除此之外,你可以在賬戶信息里看到最近哪些設備登錄過你的賬號,如下圖:
如果仍然不放心,可以開啟為有安全需求的用戶準備的2-Step驗證:
Google 2-Step Verification
除此之外,Google認為你的電腦不安全時還會發出一些怪怪的提醒…
MalwareWarning
DNSChangerWarning
Targeted User Warning
最後這一條是什麼意思呢?放個大圖你們感受一下……伊朗的Gmail用戶有一陣子就天天收到這個提醒。
---------------------------------
Gmail還做了哪些安全工作?1. Google一直在推進HTTPS的普及,到2014年,Gmail已經完全HTTPS覆蓋,所有會話都加密了。
2. 針對垃圾郵件及Xss的Content Security Policy系統。
3. 釣魚郵件/垃圾郵件分析和舉報系統。
4. 嚴格控制用戶註冊,同一台電腦註冊第二個Gmail時,要求電話簡訊驗證(第一個只需要輸入電話號碼就行)。沒法註冊包含account,google,gmail,admin,service等敏感詞的用戶名,頭像用Gmail或者Google的Logo會被刪。
5. 郵件里包含網路圖片時,會先把圖片轉存到Google雲端,再將圖片顯示出來。
6. 其他各種安全細節問題比如:Someone is sending from my address 發送人欺騙,Google Online Security Blog: Protecting Gmail in a global world 針對特殊字元。
你以為你僅僅只提供了曾用密碼和一些你亂填的信息,Google簡單匹配了下你信息就幫你找回了密碼。但是實際上Google已經通過你的登陸地,設備信息,最後登錄時間,創建賬號信息,點擊習慣,輸入習慣,等等這些操作指紋,結合後台使用智能演算法用你的歷史操作指紋數據,復原出了當前找回密碼的人就是你。
你可以找基友要一個他賬號的曾用密碼,你會發現你找不回來他的密碼....
最後,以上純屬猜測。因為國內某廠已經在做人物的建模復原用於身份識別等,Google大大多少肯定也會有的吧 ("▔□▔)/("▔□▔)/("▔□▔)/
說實話,僅僅靠密碼保護才是最不安全的
你瀏覽器裡面有cookie吧。
Google聰明得很,找密碼也是到了一個很高的境界。除了常用的簡訊,保密題目和保密郵箱,它還能通過例如你的Gmail的Label,最近聯繫人,第一封新的一個字元串以及時間,登錄地點等等很多方式多方位的進行找回密碼的方式。
我與題主相反,不僅要求輸入舊密碼,還有申請時間(我的天哪我怎麼記得啊!),還不給備用郵件或手機號(這個我不知道留沒留)驗證(我現在都開始在懷疑自己所有的記憶!),現在已經崩潰了,完全不知道怎麼才能找回來了T.T人工申訴,我要怎麼聯繫人工啊我都一個聯繫郵件都沒找到啊。。。。。。淚流成河,昨天還剛用那個郵箱寫了一個簡歷投出去了,真是。。。
同意樓上,主要是通過用戶的一些行為特徵來判斷的~風險可控的話才允許你找回。現在很流行通過評估風險度來決定是否允許進行操作,不是單純的能或不能了。你可以試試,如果不是登陸過的計算機、登陸過的城市,估計也不能找回。。。
推薦閱讀:
※近期一系列用戶資料庫安全事件,背後是同一個團隊做的嗎?
※所有註冊過的網站都使用同一個密碼會有什麼隱患?
※為什麼通過對Wi-Fi區域網嗅探可以從中劫持到iPhone本地圖片?
※2016年315晚會中曝光的掃描二維碼泄露個人信息,真的嗎?
※電子科技大學周濤研究團隊是否侵犯學生隱私?