mshubin31 мар 2010 в 10:52

Yandex.Почта — «секретный вопрос» нам не помеха

1 мин

19K

Чулан

Комментарии 17

lifecom 31 мар 2010 в 10:56

Секретный вопрос предназначен для восстановления пароля. А Вы вроде как его знаете…

atd 31 мар 2010 в 11:37

зато настоящий владелец мог бы восстановить по нему аккаунт.
а после удаления-восстановления аккаунт будет существовать, но настоящему владельцу уже доступ никак не восстановить.

mshubin 31 мар 2010 в 12:23

настоящий владелец сможет вероятно вернуть себе логин через техподдержку, но это другой вопрос.
непонятно почему бы не сделать задержку удаления на пару недель, да и почему бы не спросить лишний раз ответ на секретный вопрос мне непонятно.

НЛО прилетело и опубликовало эту надпись здесь

Kopart 31 мар 2010 в 11:04

Уже была серия из двух статей по этой проблеме на Хабре.
Плохо искали.

seraph 31 мар 2010 в 11:13

Невероятно. В самом деле, имея полный доступ к учётке, можно менять секретный вопрос, e-mail для восстановления и личные параметры? Кто бы мог подумать!

Morfi 31 мар 2010 в 11:18

Написано же «попытки изменить секретный вопрос натыкаются на требование ввести текущий ответ.»

Значит даже если у вас есть пароль, то вы ничего не сможете сделать против того что владелец заново получит к нему доступ через секретный вопрос.

haskel 31 мар 2010 в 12:24

Даже если вы знаете секретный ответ на вопрос у вас не получится сменить серьезно что-то.

Я пытался изменить пароль на свой аккаунт раз 50 после того как сменил номер телефона в аккаунте.
Каждый раз пароль менялся где-то на сутки или меньше, а потом опять нужно было восстанавливать пароль через sms-ку, причем на номер телефона который был до смены. Иначе не пускал в аккаунт.

До конца логику я не уловил. Но то что такие вещи отслеживаются- это факт.

haskel 31 мар 2010 в 12:29

Проблема с постоянным восстановлением закончилась после того как я перестал менять в аккаунте и пароль и телефон одновременно. Телефон оставил старый.

serjnazarov 31 мар 2010 в 12:21

Интересное наблюдение, а что бы вы посоветовали разработчикам Яндекс.Почты? Как исправить эту уязвимость?

mshubin 31 мар 2010 в 12:27

например задержку удаления на некоторое время, за которое настоящий владелец успеет восстановить и сменить пароль.

serjnazarov 31 мар 2010 в 12:33

Напишите им в саппорт, если еще не писали
Там дружелюбный саппорт

mshubin 31 мар 2010 в 13:05

написал на адрес support@mail.yandex.ru

conturov 31 мар 2010 в 12:22

Зная пароль вы можете все!
Теперь проделайте то-же самое только не зная пароля.

mshubin 31 мар 2010 в 12:51

некоторое время назад мой бывший ноут перешел к жене по наследству, юзер в винде остался стихийно тот же, так вот когда она отловила вирус, мне пришлось долго вспоминать какие пароли там могли быть сохранены и менять.

fog 31 мар 2010 в 13:58

Да, у гугла более правильный вариант. Лучше, если удалённый аккаунт повторно зарегистрировать нельзя будет.

sinchro 1 апр 2010 в 09:08

Если к почтовому аккаунту привязаны я.деньги зарегестрировать такой такой-же тоже нельзя.

P.S. ИМХО. Времени проверять сейчас нет…

Зарегистрируйтесь на Хабре, чтобы оставить комментарий