Recibí un correo electrónico confuso de Google hoy. Tenía el asunto «Alerta de seguridad crítica» y el cuerpo decía en parte «Google se ha dado cuenta de que otra persona conoce su contraseña y» hemos tomado medidas para proteger su cuenta «.
Aparentemente, estas son legítimas y he confirmado que los enlaces y los encabezados de los mensajes no parecen un intento de phishing.
Imagen: https://imgur.com/a/cvpfh3k
Lo curioso es que la dirección de correo electrónico que figura en la lista no es una dirección de Gmail, es un correo electrónico asociado con una de mis cuentas de alojamiento web. Obtenemos el correo de esta cuenta a través de POP3. en nuestra cuenta de Gmail.
El texto no es ambiguo: dicen claramente que saben que alguien conoce la contraseña de esta cuenta. Pero, ¿cómo? Google no tiene acceso especial a la cuenta. Presumiblemente tienen la copia en texto plano de la contraseña disponible para la autenticación POP3, por lo que si hubo una violación de datos en este almacenamiento en Google, supongo que es una forma, pero no veo nada más. Y el texto «iniciar sesión» suena Es como si tuvieran la intención de enviarlo para Gmail, pero no sé cómo preguntarles.
Incluso si mi falta de seguridad significaba que un tercero tuviera acceso, ¿cómo lo sabría Google?
Respuesta
Dado que Google tiene la contraseña para la cuenta POP3, puede verificar los volcados de contraseña comunes si la contraseña se conoce públicamente. No afirman que alguien esté usando activamente la contraseña con su cuenta POP3, solo que alguien la conoce. Y le instan a que cambie la contraseña para proteger su cuenta.
Comentarios
- Supongo que es posible, pero todavía encuentro la redacción muy extraña: ¿qué pasos están tomando para ' proteger mi cuenta '? Los correos electrónicos aún se estaban recuperando el día después de recibir ese mensaje y mi anfitrión confirma que ninguna IP, excepto la mía o la de Google ' estaban accediendo al servidor de correo. La contraseña en cuestión fue generada automáticamente por KeePass y no se usó en ningún otro lugar, por lo que ' es posible ' en un vertedero público, pero es muy poco probable .
- @NickP, La misma experiencia, preguntas y sentimientos aquí. Seguí adelante y verifiqué mi contraseña en un volcado público (¡y luego la cambié!) pero no era ' t encontrado. Encuentro todo un poco extraño.
- @schroeder mi respuesta eliminada abordó la primera pregunta de los OP: " El texto no es ambiguo: dicen claramente que saben que alguien conoce la contraseña de esta cuenta. ¿Pero cómo? " (mi negrita). Mi respuesta también incluyó el razonamiento wrt. NIST 800-63B (consulte los otros comentarios en contra de esta respuesta). No estaba ' seguro para editar la respuesta de Steffen Ullrich ' para proporcionar información adicional, ni pensé que sería apropiado, ya que abordó el desarrollo más reciente en la API de Pwnd Passwords . Siéntase libre de eliminar este comentario y ' lo olvidaré. No ' no conozco otra forma de responder.