Gmail elfelejtett jelszó nehezített pálya

Sziasztok,

Egy barátom kért meg, hogy segítsek neki gmail jelszó visszaállításában. 

A probléma a következő:

- mobil eszköz nem áll rendelkezésre azonosításhoz

- helyreállítási e-mail cím megszűnt

Viszont erre az account-ra van minden szinkronizálva, névjegyek, ehhez a címhez vannak kötve a hivatalos felhasználói fiókok. Foglalkozott már valaki hasonló problémával? Van erre valami megoldás?

Hozzászólások

Esélytelen.

Próbáljon meg visszaemlékezni.

Ha nincs megadva telefonszám, akkor hiába jut eszébe a jó jelszó. Ugyanis bejelentkezés után valami olyasmit ír, hogy erősítse meg hogy valóban ön az! És kéri a másodlagos email cimet beírni, segítségképp egyes részletei kírva, másokat kitakarva. Legalábbis  másik FF profillal, sütiket törölve, viszont  ugyanazon rendszeren is ezt csinálja. Ha beírod a másik emailre küldött jelszót, akkor belépve még küld egy "biztonsági" értesítést, IP cím, böngésző , rendszer, ahol jobb, ha az Én voltam -ot jelölöd meg, , akkor - talán- elhiszik hogy te léptél be.  Ezért is kezdtem el rég a rugalmas elszakadást tőle.

Nem esélytelen. Át lehet venni az irányítást elhanyagolt gmail accountok felett. A módszert viszont nem írnám le, pláne egy nyilvános fórumon mert rossz szándékkal is fel lehet használni gmail címek lenyúlására. Tipikusan olyan címekre amelyekre fél évente egyszer néz rá a tulajdonosa. 

Tanulságként a többieknek felhívnám a figyelmet arra lehetőségre, hogy Chrome böngészőben már jó ideje lehet több profilt használni. Ezekhez pedig Google accountokat kötni. 

Helló!

 

Kb. egy éve járt így ismerősöm. Tudni kellene mi volt a helyreállítási email cím megszűnésének oka. Szolgáltató szűnt meg, régen lépett be a fiókba és azért szűnt meg? Esetleg már más regisztrálta? 

Laca

A cím ugyanaz, de a ID más lesz a rendszerben, a google így akadályozza meg, hogy felvehesd más azonosságát.

https://support.google.com/accounts/answer/61177

"The reason is because Google is very security conscious. It would be irresponsible of them to allow others to register a previously used email address.

If you sign up an account, say, with your bank, and you tie that account to your gmail address, then delete your gmail account, someone could then register that email account, attempt to log into the bank, initiate the forgotten password procedure, then log into your bank account. (Granted, most banks nowadays have adjusted their forgotten password procedure to accommodate this type of attack, but you get my point.)"

OK, és ez hogy működik a valóságban?

Ha regisztráltam a gee@gmail címet, töröltem és valaki más újra regisztrálja, a Google egy új ID-t ad neki és ezután a bank küld egy emailt a gee@gmail címre, akkor az nem érkezik meg az éppen aktuális gee@gmail mailboxba?

Ha nem érkezik meg, akkor mi lesz azzal az emaillel?

Honnan tudja a Google, hogy én regisztráltam az email címet az OTP-ben az én folyószámlámhoz vagy az új tulaj regisztrálta ugyanazt az emailcímet az OTP-ben a saját folyószámlájához?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

lehet, hogy szar a link, de én ott azt olvasom, hogy:

> You can no longer use your Gmail address to send or receive email. If you change your mind, you may be able to get your Gmail address back.
> Your Gmail address can’t be used by anyone else in the future.

ami tök logikus is, mert ahogy mondod, a küldő nem ismeri az id-t

Na, ezért kell frissen tartani ezeket a dolgokat, hogy mi a recovery email és recovery phone. Ezek nélkül esélytelen.

Velem történt ilyen. Azzal a különbséggel, hogy direkt adta meg a számomat valaki, akinek már törték meg gmail fiókját.
Nem is tudtam róla, hogy az én számom van neki megadva; egyszer csak rám írt, hogy forwardoljam már a kódot, ha jön, mert accountot állít vissza.

Sosem értettem, hogy némely emberek hogy nem tudják, hogy a sim kártya kivehető a telefonból... de majd ha bűncselekményt követ el valaki az elosztogatott sim-ekkel, akkor majd lehet hebegni habogni. 
Nekem is van olyan rokonom, akinek évente 2x változik a telefonszáma, mert a nyomi cserélgeti a telefonját.... simmel együtt....

Túl sok embert kell lepattintani minden egyes nap.

A legtöbb ember, aki el kell érjen, nem csak a telefonszámomat ismeri, hanem email-t, facebook-ot, feleségem telefonszámát, stb.

De egyébként én sem cserélem évente kétszer, most 10 év után változtatok számot. Így is elég macera volt megváltoztani a bankokban, még meg kell változtatnom az orvosnál és a gyerekek iskolájában legalább.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Feltéve, hogy az új tulajdonosa a telefonszámnak valóban jó arc és együttműködik. Mert ha egy mókamester, aki poénból a telefonon kapott új infóval (gmail cím amihez az ő száma van rendelve) át is tudja venni végérvényesen a kontrollt a google account felett. 

Ezért lenne érdemes bevezetni az alanyi jogon járó mobiltelefonszámot. Például okmányirodában véglegesen regisztrálva az adott személyhez. Ezek után a mobilszolgáltatók azt a számot nem adhatnák ki másnak. Természetesen ha nem fizeti a számlát, vagy nem tölti fel időben ugyanúgy megszűnne, viszont a száma inaktívan megmaradna. Utána új szerződéssel visszaaktiválhatná a személyes mobilszámát. Ha másik mobilszolgáltatóhoz megy át, akkor pedig az okmányirodától jönne az igazolás arról, hogy valóban a magát személyivel igazoló emberé az adott telefonszám. 

Pont most cseréltem le a telefonszámomat egy újra, mert meguntam, hogy mindenféle hülye spammer rászokott, és közvéleménykutatástól adósságrendezésen át online befektetésig mindenfélét rám akarnak sózni. Ja, meg életbiztosítás, persze.

Ha lenne alanyi jogon járó telefonszámom, és azzal jártam volna így, akkor most jól eltenném a fiók mélyére.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Én a hülye spammereknél első körben felteszek néhány kérdést (adatkezelő neve, adatkezelési azonosítószám, adatvédelmi felelős elérhetősége, honnan van meg a telefonszámom, stb.) - ezek közben jellemzően bontják a vonalat, ha nem, akkor meg a "borítékolható" válaszok után jelzem, hogy a szolgáltató és a NAIH felé jelzem a kéretlen hívást és a jogosulatlan adatkezelés tényét, aviszonthallásra, kinyom, telefonszám meg megy a "csedben elutasított hívók" listájára.

Egyreszt en nem veszek fel ismeretlen szamot

Van, aki megteheti ezt. A telefonban van is ilyen opció, hogy ki se csörögjön, ha nincs a hívó száma elmentve.

De van, akinek ez nem opció.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Az én számom itt a UK-ben volt már korábban használva, rendszeresen be is esnek marhaságokkal. Mikor kiderül, hogy nincs közöm hozzá, kinyomom, akár a mondat közepén is. El sem köszönök. Tudom, hogy demoralizáló, jobban is működik, mint szépen megkérni, hogy vegyen le a listáról vagy jogi szöveget hablatyolni (amihez nem értek). Ilyen után sokkal kevésbé hívnak vissza (már otthon is ez volt a tapasztalat). A magyar számomat simán fenntartom, hogy a hazaiak elérjenek (2000 óta ez a számom, sokszor jött jól, hogy nem változik.) Az angol számomat is az idők végezetéig meg fogom tartani.

Szerintem nagyjából annyit tudsz csinálni, amit itt találsz. Én már hoztam vissza fiókot úgy, hogy a megszokott helyről belépve elkezdtem az account recovery-t. Tapasztalatom szerint egy átlag felhasználónál (gondolom a barátod átlag felhasználó, mert hozzáértő soha nem felejti el a jelszavát vagy password vault-ban tárolja :)) a jelszó elfelejtése annyit jelent, hogy az általa használt három jelszóból épp a rosszat próbálja a gmail-hez vagy a jelszó végén lévő számot téveszti el. Szóval kérd meg, hogy adja meg nagyjából hogy szokott jelszavakat kitalálni, mi a fix része, mit változtatgat és lehet próbálkozni :)

A supportnak lehet könyörögni, de le fogják tojni...

létezik olyan hozzáértő, aki password vault-ban tárolja? És az mindig beillesztgeti neki belépéskor? Ez mekkora security hole? Az összes jelszavam rábízni egy alkalmazásra.

Mondjuk az átlag felhasználó meg a böngészőre bízza a jelszavait, amit aztán szinkronizál a google-val. Vö: böngésző = internet = facebook = chrome

> létezik olyan hozzáértő, aki password vault-ban tárolja? És az mindig beillesztgeti neki belépéskor? Ez mekkora security hole? Az összes jelszavam rábízni egy alkalmazásra.

Valószínűleg összességében kisebb, mint az egyéb, csak fejben tartásra, meg ott matekozásra bízott módszer.

Ráadásul a hozzáértő szokott törekedni arra, hogy a fontos helyeken legyen valmi 2fa.

Szerintem alap a jelszószéf. Sőt, azt állítom, a jelszavas azonosítást ma már csak így szabadna használni.
Azért az nem csak úgy beillesztget, hanem autentikálok a saját eszközömön. Pl. Androidon minden egyes alkalommal ujjlenyomatot kér. Saját laptopomon session-önként oldom fel mesterjelszóval, szerintem ez elég.

Sokkal-sokkal biztonságosabb, mint a password reuse. Ha valami security hole, na hát a reuse az.

Lastpass-t használok már régóta. Minden accountnak random generált jelszava van, ami megint csak sokkal jobb egy emlékezhető jelszónál.

Régebben próbálkoztam latin square-en történő jelszógenerálással; előnye, hogy rekonstruálható akár papíron is (persze ha nálad van a latin square-ed), hátránya, hogy minden account létrehozásnál szopni kell vele. Meg az egyre gyakoribb kötelező szám- és jeltartalom  miatt konvenciókat kell kötni. Egyszerűbb a lastpass generate password-je, úgyis neki kell rá emlékezni.

Igen, felhős. Éppen ezért érem el minden eszközömön.

Felhőbe csak a titkosított blob kerül.
Ami számomra szimpatikus, hogy auditált cég, valamint korrekten kezelték az eddigi vulnerability-ket.
Itt is vannak olyan funkciók, hogy csak x ideig tartja az infót a vágólapon meg hasonlók.

Néztem én is a keepass-t illetve többféle open source megoldást, de kb. annyit érek el velük, hogy a szinkronizációt oldhatom meg magam.

Régebben próbálkoztam latin square-en történő jelszógenerálással; előnye, hogy rekonstruálható akár papíron is (persze ha nálad van a latin square-ed), hátránya, hogy minden account létrehozásnál szopni kell vele.

Ez felkeltette az érdeklődésemet, mesélnél róla valamit? Ezt a két dolgot találtam vele kapcsolatban:

Jó helyen keresgélsz.
Generálsz egy kulcsot (amit egyúttal jól elmentesz magadnak), ebből generálja az algoritmus a tábládat.
Ezen a leírt algoritmussal először seedelsz, aztán generálsz, az itt leírt módon:
https://www.grc.com/otg/operation.htm

Számokra és speciális karakterekre a sidebar segítségével kitalálsz helyettesítési konvenciókat.

Én csináltam ezt sokáig, de végeredményben az így generált jelszavakat is el kell mentened valamilyen vault-ba, hacsak nem akarsz minden login-kor újragenerálni. Az az előnye a random jelszavakkal szemben, hogy ha épp nem férsz hozzá a vault-hoz vagy megsemmisül, újra tudod generálni a jelszavaidat.

...de végeredményben az így generált jelszavakat is el kell mentened valamilyen vault-ba, hacsak nem akarsz minden login-kor újragenerálni.

Ez az, ezzel max egy mesterjelszót lenne érdemes generálni, vagy olyat ahová szinte állandóan belépve maradsz (pl. email), mert megjegyezni úgysem bírod. Ennél egyszerűbbnek és használhatóbbnak tűnik a hossz növelése valamilyen egyedi módon (ld. xkcd, vagy bármi más)

 

Az az előnye a random jelszavakkal szemben, hogy ha épp nem férsz hozzá a vault-hoz vagy megsemmisül, újra tudod generálni a jelszavaidat.

...ha hozzáférsz a tábládhoz, vagy ha emlékszel a tábla generálásához használt jelszavadra... szóval ennyi erővel akár a password manager jelszavát is beteheted a széfbe, vagy emlékezhetsz rá ;-)

A password manager-nél nem elég eltenni a jelszót, magáról a vaultról is kell rendszeres backup.
Ezzel szemben a latin square-nél a táblageneráláshoz használt véletlen kulcsot kell eltenni (ezt papíron, egy QR kódhoz hasonló formátumban tettem meg annak idején); ebből, illetve a saját szabályaidból újra tudod generálni tetszőleges szolgáltatáshoz a jelszavadat.

Ez egyfajta előny, ami valakinek lehet érdekes vagy nem érdekes, releváns vagy nem releváns.
Főleg a lastpass előtti időkben használtam, amíg csak local vault-om volt. Mentett már meg, amikor kiküldetésben nem volt nálam a laptopom, de egy kinyomtatott latin square mindig volt a mappámban (kézipoggyásszal repülve nem szívesen viszek magammal gépet rövid kiküldetésre, főleg ha előre láthatólag nem is lesz rá szükség).
Persze most már más a helyzet, hogy a telómra is szinkronizálva van a vault.

létezik olyan hozzáértő, aki password vault-ban tárolja? És az mindig beillesztgeti neki belépéskor? Ez mekkora security hole? Az összes jelszavam rábízni egy alkalmazásra.

Ezt a hármat én külön választanám:

- "password vaultban tárolja": must have! Én azt nem értem hogy lehet egyátalán enélkül ;)

- "És az mindig beillesztgeti neki belépéskor" - na ez már egy másik kérdés, ez már bizony csak kényelemi fícsör, ami egyértelműen a biztosnág rovására megy.

- "Az összes jelszavam rábízni egy alkalmazásra" nekem pl külön vault van a céges dolgokhoz, a privát titkokhoz, és azokhoz is amiket valakikkel közösen kell elérnünk. Tehát biztosan nincs minden egy helyen.

 

Ezek után érdemes még a password vault-ról azt tudni, hogy van olyan ami online szolgáltatás, és van ami lokálisan tárolja a (titkosított) adatbzisát.

Mindegyiknek meg van az előnye, de a hátránya is. A céloknak és elvárásoknak megfelelőt kell választani - és tisztában lenni az előnyei/hátránai/veszélyeivel.

 

Mint szekuriti szakember összeségében egyértelműen azt mondom, hogy a password vault nélkül  sokkal nagyobb kockázat online tevékenykedni. Ilyenkor általában egy-két-három féle jelszót módosítgatnak a userek, és ezt használják mind a 100 szolgáltatáshoz vagy accounthoz, ami tudjuk hová vezet...

Egyetértek: egy password manager (és ezzel párhuzamosan random generated vagy legalább biztonságos jelszavak) használata máris sokkal biztonságosabb, mint a szokásos kókányolás, password re-usage.

Local vault-tal kezdtem (a telefonomon), de egyértelműen igényem van a szinkronizációra, így lett végül LastPass.. Elfogadom azt (a szerintem egyébként alacsony) plusz kockázatot, hogy titkosított formában felhőbe kerülnek a jelszavaim és mindez egy olyan entitásra van bízva, aki professzionálisan nyújtja ezt a szolgáltatást, érdeke fűződik a megbízható és problémamentes üzemhez, jó hírnevéhez, és a múltbeli incidensek alkalmával felelősségteljes hozzáállást tanúsított, nyílt kommunikációval.

Nekem ez elég.

Csak FYI, de mikor valamelyik guglis (vagy közeli) secus arc széjjel kapta a lastpasst, akkor az volt a konklúziója, hogy hát, ez pont ratyi (és a feszegetett dolgok egyébként valósnak tűntek). Persze ez egyrészt pár éve volt, másrészt meg a gugli akár ellenérdekeltnek is tűnhet :)

Nekem is az maradt meg, hogy a lastpassban ilyen-olyan security hibákról szóltak a cikkek.

De bizonyára mielőtt választott a kolléga, utánanézett, és megnyugtató dolgokat olvasott, mert egyébként nem azt választotta volna.

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Ja. Van google analytics. Na bumm. Legfeljebb letiltom.
A végén kitér rá, hogy a competition se tracker-free.

Szerintem érvényes vélemény azt mondani, hogy ez zavar és nem akarsz ilyen pw managert használni. Megértem ezt az álláspontot, magam is így kezdtem.
Vannak kiváló opensource megoldások, ahol a szinkronizációt magad oldhatod meg dropbox-on vagy google drive-on keresztül, vagy akár saját szerveren. Kérdés ezek mennyire biztonságosak, illetve elemzi-e ezeket egyáltalán valaki.

Nekem a bizalmamat elnyerte a lastpass (ellentétben pl. egy Microsoft-tal); ha a jövőben is így állnak hozzá mint eddig, nekem oké. Jól integrálódik, minden eszközömön megy, nem kell infrát építenem és karbantartanom alatta.

Természetesen valid erről másképp gondolkodni és más megoldást keresni.

Tudd meg az összes helyet, ahol a jelszót tárolta (pl. papírcetli, böngésző stb.), hátha valahonnan visszaszerezhető.

:)

Szerkesztve: 2021. 02. 28., v – 00:50

helyreállítási e-mail cím megszűnt

Regisztrálja újra, ha lehetséges.

Megfutottam a szükséges köröket, a helyreállítási e-mail címet maszkolja a Google? Ha igen, akkor a helyreállítási e-mail címre is rosszul emlékeznek, vagy azt valaki megváltoztatta. Ők hu végződésre emlékeznek, a maszk viszont 3 karakteres végződést mutat. 

A jövőre nézve (természetesen csak bizonyos paramétereknek van értelme, de családban pl. szerintem igen): a gmailnak van egy olyan funcioja, hogy ha nem lépsz be x ideig (3 hónap?), mert pl. meghaltál, akkor egy meghatározott személy megkapja a dolgaidat.

Bővebben: https://myaccount.google.com/inactive?pli=1

“Any book worth banning is a book worth reading.”

Tudom, ez már nagyon alacsony szint..., :) - de ha rendszeresen használt valamilyen böngészőt, - esetleg több gépről, telefonról is, - úgy lehet azokban kéne megkeresni a rögzített jelszót. (Hátha valahol a jó pw is mentve van. Vagy, ha rajta kívül valaki (pl. párja,) is használta a gépén.., úgy ott...)

En a microsofttal kuzdok egy nehany eves Skype accountert (kellene egy contact neve, nincs mas otletem honnan tudnam megszerezni)

Mar minden lof@szt bekertek, beirtam neveket a regi contact listarol, hogy mennyit koltottem Skype feltoltesre anno, szemelyes adatokat, kb mindent.

A valasz az volt hogy keves adatot adtam meg, probaljam meg meg egyszer...

Én azt bírom, amikor ők mondják meg, hogy mit kérnek, beküldöm, aztán azt mondják, hogy hát ez nem elég.

Banyek, akkor miért nem kértél többet?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Egyébként meg, a kitartás szükséges(!), volt hogy 3 napig ismételgettem az ms-fiók visszaállításához kért adatokat, egy G. fióknál is volt már szerencsém "hosszabb ideig tartó menethez", mire végül elfogadták. (Akkor úgy gondoltam.., az algoritmusok méltányolják a fiókhoz ilyen kitartóan való "ragaszkodást". :) ) - Nem saját fiókok voltak, csak segítettem vele egy barátomnak.

Ilyenkor derül ki, hogy kire gondolt Darwin :)

Szerkesztve: 2021. 03. 04., cs – 10:05

nemide.

Saying a programming language is good because it works on all platforms is like saying anal sex is good because it works on all genders....