Ma egy zavaros e-mailt kaptam a Google-tól. “Kritikus biztonsági riasztás” volt, és a testület részben azt mondta: “A Google tudomásul vette, hogy valaki más tudja az Ön jelszavát, és mi lépéseket tettünk a fiókja védelme érdekében.”
Nyilvánvalóan ezek jogosak , és megerősítettem, hogy a linkek és az üzenetfejlécek nem hasonlítanak adathalász kísérletre.
Kép: https://imgur.com/a/cvpfh3k
Az a furcsa, hogy a felsorolt e-mail cím nem Gmail-cím – ez egy e-mail, amely az egyik webtárhely-fiókomhoz van társítva. E-maileket ebből a fiókból hívjuk le POP3-on keresztül be a Gmail-fiókunkba.
A szöveg egyértelmű – egyértelműen kijelentik, hogy tudják, hogy valaki tudja ennek a fióknak a jelszavát. De hogyan? A Google-nak nincs külön hozzáférése a fiókhoz. Feltehetőleg a jelszó elérhető a POP3-hitelesítéshez, tehát ha adattörés történt ezen a tárhelyen a google-nál, akkor azt hiszem, hogy ez az egyik módja, de bármi másra üresen állok fel. És a “visszajelentek” szöveges hang olyanok, mintha el akarták volna küldeni a Gmailbe, de nem tudom, hogyan kérdezzem meg őket.
Még akkor is, ha a rossz biztonsági higiénéim azt jelentenék, hogy harmadik félnek van hozzáférése, honnan tudná a Google?
Válasz
Mivel a Google rendelkezik a POP3-fiókhoz tartozó jelszóval, ellenőrizheti a általános jelszó-kiírást ha a jelszó nyilvánosan ismert. Nem állítják, hogy valaki aktívan használja a jelszót a POP3-fiókoddal, csak az tudja, hogy valaki tudja. És arra kérik, hogy változtassa meg a jelszót a fiókod védelme érdekében.
Megjegyzések
- Feltételezem, hogy ez lehetséges, de a megfogalmazást mégis nagyon furcsának találom – milyen lépéseket tesznek a fiókom védelméhez ' a fiókom védelme érdekében '? Az e-maileket még az üzenet kézhezvételét követő napon kaptuk le, és a gazdagépem megerősíti, hogy csak a saját vagy a Google ' s IP-címek férnek hozzá a levelezési szerverhez. A kérdéses jelszót a KeePass automatikusan generálta, és másutt nem használta, így ' lehetővé tette, hogy ' s egy nyilvános dumpban, de nagyon valószínűtlen .
- @NickP, Ugyanaz a tapasztalat, kérdések és érzések itt. Folytattam és a nyilvános dumpban ellenőriztem a jelszavamat (majd megváltoztattam!), de nem volt ' t találtam. Az egészet furcsának találom.
- @schroeder a törölt válaszom az OP-k első kérdésével foglalkozott: " A szöveg egyértelmű – egyértelműen kijelentik, hogy tudják, hogy valaki tudja ennek a fióknak a jelszavát. De hogyan? " (félkövérrel). Válaszom tartalmazta az indoklást is. NIST 800-63B (lásd a válaszhoz fűzött többi megjegyzést). ' nem voltam benne biztos, hogy Steffen Ullrich ' válaszát további információk megadásához szerkesztettem, és nem is gondoltam volna megfelelőnek, mivel én a Pwnd jelszavak API legújabb fejlesztésével foglalkozott. Törölje nyugodtan ezt a megjegyzést, és ' elfelejtem – nem tudok ' más módon reagálni.