Jai reçu un e-mail déroutant de Google aujourdhui. Il avait pour objet « Alerte de sécurité critique » et le corps a dit en partie « Google a appris que quelquun dautre connaît votre mot de passe, et nous » avons pris des mesures pour protéger votre compte. «
Apparemment, ce sont légitimes , et jai « confirmé que les liens et les en-têtes de message » ne ressemblent pas à une tentative de phishing.
Image: https://imgur.com/a/cvpfh3k
Ce qui est étrange, cest que ladresse e-mail indiquée nest pas une adresse Gmail. Il sagit dun e-mail associé à lun de mes comptes dhébergement Web. Nous récupérons les e-mails de ce compte via POP3 dans notre compte Gmail.
Le texte est sans ambiguïté. Ils indiquent clairement quils savent que quelquun connaît le mot de passe de ce compte. Mais comment? Google na pas daccès spécial au compte. Ils ont vraisemblablement la copie en texte brut du mot de passe disponible pour lauthentification POP3, donc sil y avait une violation de données sur ce stockage chez google, je suppose que cest une solution, mais je suis vide sur tout le reste. Et le texte « se reconnecter » retentit Cest comme sils voulaient lenvoyer pour Gmail, mais je ne sais pas comment leur demander.
Même si ma mauvaise hygiène de sécurité signifiait quun tiers avait accès, comment Google le saurait-il?
Réponse
Puisque Google possède le mot de passe du compte POP3, il peut vérifier les vidages de mots de passe courants si le mot de passe est connu publiquement. Ils ne prétendent pas que quelquun utilise activement le mot de passe avec votre compte POP3, mais seulement que quelquun le sait. Et ils vous invitent à changer le mot de passe pour protéger votre compte.
Commentaires
- Je suppose que cest possible mais je trouve toujours la formulation très étrange – quelles mesures prennent-ils pour ' protéger mon compte '? Les e-mails étaient toujours en cours de récupération le lendemain de la réception de ce message et mon hôte confirme quaucune adresse IP autre que la mienne ou celle de Google ' naccédait au serveur de messagerie. Le le mot de passe en question a été généré automatiquement par KeePass et na pas été utilisé ailleurs, il est donc ' possible quil ' s dans un vidage public mais très peu probable .
- @NickP, Même expérience, questions et sentiments ici. Jai vérifié mon mot de passe dans le vidage public (puis je lai changé!) mais ce nétait pas ' t trouvé. Je trouve tout cela assez étrange.
- @schroeder ma réponse supprimée a répondu à la 1ère question des OP: " Le texte est sans ambiguïté – ils déclarent clairement quils savent que quelquun connaît le mot de passe de ce compte. Mais comment? " (mon gras). Ma réponse comprenait également une justification. NIST 800-63B (voir les autres commentaires contre cette réponse). Je nétais ' pas sûr de pouvoir modifier la réponse de Steffen Ullrich ' pour fournir des informations supplémentaires, et je ne pensais pas non plus que ce serait approprié, comme je a abordé le développement plus récent de lAPI Pwnd Passwords . Nhésitez pas à supprimer ce commentaire et je ' loublierai – Je ne ' ne connais pas dautre moyen de répondre.