mshubin Mar 31 2010 at 14:52

Yandex.Почта — «секретный вопрос» нам не помеха

1 min

19K

Lumber room

Comments 17

lifecom Mar 31 2010 at 14:56

Секретный вопрос предназначен для восстановления пароля. А Вы вроде как его знаете…

atd Mar 31 2010 at 15:37

зато настоящий владелец мог бы восстановить по нему аккаунт.
а после удаления-восстановления аккаунт будет существовать, но настоящему владельцу уже доступ никак не восстановить.

mshubin Mar 31 2010 at 16:23

настоящий владелец сможет вероятно вернуть себе логин через техподдержку, но это другой вопрос.
непонятно почему бы не сделать задержку удаления на пару недель, да и почему бы не спросить лишний раз ответ на секретный вопрос мне непонятно.

UFO just landed and posted this here

Kopart Mar 31 2010 at 15:04

Уже была серия из двух статей по этой проблеме на Хабре.
Плохо искали.

seraph Mar 31 2010 at 15:13

Невероятно. В самом деле, имея полный доступ к учётке, можно менять секретный вопрос, e-mail для восстановления и личные параметры? Кто бы мог подумать!

Morfi Mar 31 2010 at 15:18

Написано же «попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.»

Значит даже если у вас есть пароль, то вы ничего не сможете сделать против того что владелец заново получит к нему доступ через секретный вопрос.

haskel Mar 31 2010 at 16:24

Даже если вы знаете секретный ответ на вопрос у вас не получится сменить серьезно что-то.

Я пытался изменить пароль на свой аккаунт раз 50 после того как сменил номер телефона в аккаунте.
Каждый раз пароль менялся где-то на сутки или меньше, а потом опять нужно было восстанавливать пароль через sms-ку, причем на номер телефона который был до смены. Иначе не пускал в аккаунт.

До конца логику я не уловил. Но то что такие вещи отслеживаются- это факт.

haskel Mar 31 2010 at 16:29

Проблема с постоянным восстановлением закончилась после того как я перестал менять в аккаунте и пароль и телефон одновременно. Телефон оставил старый.

serjnazarov Mar 31 2010 at 16:21

Интересное наблюдение, а что бы вы посоветовали разработчикам Яндекс.Почты? Как исправить эту уязвимость?

mshubin Mar 31 2010 at 16:27

например задержку удаления на некоторое время, за которое настоящий владелец успеет восстановить и сменить пароль.

serjnazarov Mar 31 2010 at 16:33

Напишите им в саппорт, если еще не писали
Там дружелюбный саппорт

mshubin Mar 31 2010 at 17:05

написал на адрес support@mail.yandex.ru

conturov Mar 31 2010 at 16:22

Зная пароль вы можете все!
Теперь проделайте то-же самое только не зная пароля.

mshubin Mar 31 2010 at 16:51

некоторое время назад мой бывший ноут перешел к жене по наследству, юзер в винде остался стихийно тот же, так вот когда она отловила вирус, мне пришлось долго вспоминать какие пароли там могли быть сохранены и менять.

fog Mar 31 2010 at 17:58

Да, у гугла более правильный вариант. Лучше, если удалённый аккаунт повторно зарегистрировать нельзя будет.

sinchro Apr 1 2010 at 13:08

Если к почтовому аккаунту привязаны я.деньги зарегестрировать такой такой-же тоже нельзя.

P.S. ИМХО. Времени проверять сейчас нет…