本日Googleから紛らわしいメールを受け取りました。 「重大なセキュリティアラート」という件名で、本文には「Googleは他の誰かがあなたのパスワードを知っていることを認識し、「あなたのアカウントを保護するための措置を講じました」と述べています。
明らかにこれらは正当なものです。 、およびリンクとメッセージヘッダーがフィッシング詐欺のように見えないことを確認しました。
画像: https://imgur.com/a/cvpfh3k
奇妙なことに、リストされているメールアドレスはGmailアドレスではなく、私のウェブホスティングアカウントの1つに関連付けられているメールです。このアカウントからPOP3経由でメールを取得します。 Gmailアカウントに入力します。
テキストは明確です。誰かがこのアカウントのパスワードを知っていることをはっきりと示しています。しかし、どうすればよいですか。Googleはアカウントに特別にアクセスできません。おそらく、 POP3認証に使用できるパスワードなので、Googleのこのストレージでデータ侵害があった場合、それは1つの方法だと思いますが、それ以外の場合は空白になります。「サインイン」というテキストが表示されます。まるでGmailに送信するつもりだったのに、どうやって尋ねたらいいのかわからない。
セキュリティの衛生状態が悪いために第三者がアクセスできたとしても、Googleはどうやって知るのだろうか?
回答
GoogleはPOP3アカウントのパスワードを持っているため、一般的なパスワードダンプを確認できますパスワードが公に知られている場合。彼らは、誰かがあなたのPOP3アカウントでパスワードを積極的に使用しているとは主張せず、誰かがそれを知っているだけです。そして、あなたのアカウントを保護するためにパスワードを変更するように促します。
コメント
- それは可能だと思いますが、それでも言い回しは非常に奇妙だと思います。'アカウントを保護するためにどのような手順を踏んでいますか'?そのメッセージを受け取った翌日もメールが取得されていて、ホストは自分のIPまたはGoogle '以外のIPがメールサーバーにアクセスしていないことを確認しました。問題のパスワードはKeePassによって自動生成され、他の場所では使用されていないため、'パブリックダンプにある可能性がありますが' 。
- @NickP、同じ経験、質問、気持ちがここにあります。先に進んで、パブリックダンプでパスワードを確認しました(その後、パスワードを変更しました)が、'見つかりませんでした。全体が奇妙だと思います。
- @schroeder削除した回答は、OPの最初の質問に対応しました: "テキストは明確です。誰かがこのアカウントのパスワードを知っていることをはっきりと述べています。 しかしどうやって? " (私の太字)。私の答えには、理論的根拠も含まれていました。 NIST 800-63B(この回答に対する他のコメントを参照してください)。 '追加情報を提供するためにSteffenUllrich 'の回答を編集することに自信がなかったし、私が適切だとは思わなかった。 Pwnd Passwords APIの最近の開発に対処しました。このコメントを自由に削除してください。'忘れてしまいます。'他に返信する方法がわかりません。