Otrzymałem dzisiaj od Google mylącą wiadomość e-mail. Zawierał temat „Krytyczny alert bezpieczeństwa”, a organ powiedział po części „Google dowiedział się, że ktoś inny zna Twoje hasło, i„ podjęliśmy kroki w celu ochrony Twojego konta ”.
Najwyraźniej są to uzasadnione Potwierdziłem, że linki i nagłówki wiadomości nie wyglądają na próbę wyłudzenia informacji.
Obraz: https://imgur.com/a/cvpfh3k
Dziwne jest to, że podany adres e-mail nie jest adresem Gmaila – jest to adres e-mail powiązany z jednym z moich kont hostingowych. Pocztę pobieramy z tego konta za pośrednictwem protokołu POP3 na nasze konto Gmail.
Tekst jest jednoznaczny – wyraźnie stwierdzają, że wiedzą, że ktoś zna hasło do tego konta. Ale w jaki sposób? Google nie ma specjalnego dostępu do konta. Prawdopodobnie mają kopię zwykłego tekstu hasło dostępne do uwierzytelniania POP3, więc jeśli doszło do naruszenia danych w tej pamięci w Google, to chyba jest to w jedną stronę, ale nic innego nie robię. A tekst „Zaloguj się ponownie” brzmi jakby chcieli wysłać to do Gmaila, ale nie wiem, jak ich o to poprosić.
Nawet jeśli mój niski poziom bezpieczeństwa oznaczał, że osoba trzecia miała dostęp, skąd Google miałoby wiedzieć?
Odpowiedź
Ponieważ Google ma hasło do konta POP3, może sprawdzić typowe zrzuty haseł jeśli hasło jest znane publicznie. Nie twierdzą, że ktoś aktywnie używa hasła do twojego konta POP3, tylko że ktoś je zna. I nalegają na zmianę hasła w celu ochrony konta.
Komentarze
- Przypuszczam, że jest to możliwe, ale nadal uważam to sformułowanie za bardzo dziwne – jakie kroki podejmują, aby ' chronić moje konto '? E-maile były nadal pobierane dzień po otrzymaniu tej wiadomości, a mój host potwierdza, że żaden adres IP oprócz mojego własnego lub ' adresów IP nie uzyskuje dostępu do serwera poczty. hasło, o którym mowa, zostało wygenerowane automatycznie przez KeePass i nie było używane nigdzie indziej, więc ' jest możliwe, że ' znajduje się na publicznym zrzucie .
- @NickP, Tutaj to samo doświadczenie, pytania i odczucia. Poszedłem dalej i sprawdziłem swoje hasło w publicznym zrzucie (a potem je zmieniłem!), ale nie było ' Nie znaleziono. Wszystko wydaje mi się dziwne.
- @schroeder moja usunięta odpowiedź dotyczyła pierwszego pytania OP: " Tekst jest jednoznaczny – wyraźnie stwierdzają, że wiedzą, że ktoś zna hasło do tego konta. Ale jak? " (moje pogrubienie). Moja odpowiedź zawierała również uzasadnienie wrt. NIST 800-63B (zobacz inne komentarze do tej odpowiedzi). Nie ' nie byłem pewien, czy edytować odpowiedź Steffena Ullricha ', aby podać dodatkowe informacje, i nie sądziłem, że byłoby to właściwe, ponieważ dotyczył nowszych zmian w API Pwnd Passwords . Możesz usunąć ten komentarz i ' zapomnę o nim – nie ' nie znam innego sposobu odpowiedzi.