Ik heb vandaag een verwarrende e-mail van Google ontvangen. Het had het onderwerp Kritieke beveiligingswaarschuwing en de instantie zei gedeeltelijk Google is zich ervan bewust dat iemand anders uw wachtwoord kent, en we hebben maatregelen genomen om uw account te beschermen .

Blijkbaar zijn deze legitiem , en ik heb bevestigd dat de links en berichtkoppen er niet uitzien als een phishing-poging.

Afbeelding: https://imgur.com/a/cvpfh3k

Het vreemde is dat het vermelde e-mailadres geen Gmail-adres is – het is een e-mailadres dat is gekoppeld aan een van mijn webhostingaccounts. We halen e-mail op van dit account via POP3 naar ons Gmail-account.

De tekst is ondubbelzinnig – ze geven duidelijk aan dat ze weten dat iemand het wachtwoord voor dit account kent. Maar hoe? Google heeft geen speciale toegang tot het account. Ze hebben vermoedelijk een kopie in platte tekst van de wachtwoord beschikbaar voor POP3-authenticatie, dus als er een datalek was op deze opslag bij Google, dan denk ik dat dat maar één manier is, maar ik kom op iets anders blanco. En de tekst log opnieuw in klinkt Het is alsof ze het voor Gmail wilden verzenden, maar ik weet niet hoe ik het ze moet vragen.

Zelfs als mijn slechte veiligheidshygiëne betekende dat een derde partij toegang had, hoe zou Google dat dan weten?

Answer

Aangezien Google het wachtwoord voor het POP3-account heeft, kan het de algemene wachtwoorddumps als het wachtwoord openbaar bekend is. Ze beweren niet dat iemand actief het wachtwoord gebruikt met je POP3-account, alleen dat iemand het weet. En ze dringen er bij je op aan het wachtwoord te wijzigen om je account te beschermen.

Opmerkingen

  • Ik veronderstel dat dat mogelijk is, maar ik vind de formulering nog steeds erg vreemd – welke stappen nemen ze om ' mijn account te beschermen '? E-mails werden nog steeds opgehaald de dag nadat ik dat bericht had ontvangen en mijn host bevestigt dat geen IP-adressen, behalve die van mijzelf of Google ' s, toegang hadden tot de mailserver. De wachtwoord in kwestie is automatisch gegenereerd door KeePass en wordt niet ergens anders gebruikt, dus ' is het mogelijk ' in een openbare dump maar zeer onwaarschijnlijk .
  • @NickP, Zelfde ervaring, vragen en gevoelens hier. Ik ging door en controleerde mijn wachtwoord in de openbare dump (en veranderde het toen!) maar het was niet ' t gevonden. Ik vind het hele ding een beetje vreemd.
  • @schroeder mijn verwijderde antwoord was gericht op de OPs Eerste vraag: " De tekst is ondubbelzinnig – ze zeggen duidelijk dat ze weten dat iemand het wachtwoord voor dit account kent. Maar hoe? " (mijn vetgedrukte letters). Mijn antwoord omvatte ook de grondgedachte. NIST 800-63B (zie de andere opmerkingen bij dit antwoord). Ik was niet ' er niet zeker van om het antwoord van Steffen Ullrich ' te bewerken om aanvullende informatie te geven, en ik dacht ook niet dat het gepast zou zijn, behandelde recentere ontwikkelingen in de Pwnd Passwords API. Voel je vrij om deze opmerking te verwijderen en ik ' zal het vergeten – ik ' weet geen andere manier om te reageren.

Geef een reactie

Het e-mailadres wordt niet gepubliceerd. Vereiste velden zijn gemarkeerd met *