Am primit astăzi un e-mail confuz de la Google. Avea subiectul „Alertă de securitate critică” și corpul a spus parțial „Google a devenit conștient de faptul că altcineva știe parola dvs. și„ am luat măsuri pentru a vă proteja contul. ”
Se pare că acestea sunt legitime și am confirmat că linkurile și antetele mesajelor nu arată ca o încercare de phishing.
Imagine: https://imgur.com/a/cvpfh3k
Ciudat este că adresa de e-mail listată nu este o adresă Gmail – este un e-mail asociat cu unul dintre conturile mele de găzduire web. Preluăm e-mail din acest cont prin POP3 în contul nostru Gmail.
Textul este lipsit de ambiguitate – afirmă clar că știu că cineva știe parola pentru acest cont. Dar cum? Google nu are acces special la cont. Probabil că au o copie text completă a parolă disponibilă pentru autentificarea POP3, deci dacă a existat o încălcare a datelor pe acest spațiu de stocare la Google, atunci cred că „este într-un singur sens, dar vin pe orice altceva. Și sunetul textului„ conectează-te din nou ” De parcă ar fi vrut să o trimită pentru Gmail, dar nu știu cum să le întreb.
Chiar dacă igiena mea de securitate precară ar însemna că o terță parte avea acces, cum ar ști Google?
Răspuns
Deoarece Google are parola pentru contul POP3, acesta poate verifica depozitele de parolă comune dacă parola este cunoscută public. Nu susțin că cineva folosește în mod activ parola cu contul dvs. POP3, doar că cineva o știe. Și vă îndeamnă să schimbați parola pentru a vă proteja contul.
Comentarii
- Presupun că acest lucru este posibil, dar încă mi se pare foarte ciudat formularea – ce pași fac pentru a ' proteja contul meu '? E-mailurile erau încă preluate în ziua următoare primirii acelui mesaj, iar gazda mea confirmă că nu au acces accesul la serverul de e-mail altor adrese IP decât ale mele sau Google '. parola în cauză a fost generată automat de KeePass și nu a fost utilizată în altă parte, așa că este ' posibil ' s într-un depozit public, dar foarte puțin probabil .
- @NickP, Aceeași experiență, întrebări și sentimente aici. Am mers mai departe și mi-am verificat parola în dump-ul public (și apoi am schimbat-o!), dar nu era ' nu s-a găsit. Mi se pare ciudat totul.
- @schroeder răspunsul meu șters s-a adresat OP-ului prima întrebare: " Textul nu este ambiguu – afirmă clar că știu că cineva știe parola acestui cont. Dar cum? " (boldul meu). Răspunsul meu a inclus, de asemenea, motivul wrt. NIST 800-63B (vezi celelalte comentarii împotriva acestui răspuns). Nu aveam ' încredere în modificarea răspunsului lui Steffen Ullrich ' pentru a furniza informații suplimentare și nici nu credeam că ar fi potrivit, așa cum am a abordat o dezvoltare mai recentă în API-ul Pwnd Passwords . Simțiți-vă liber să ștergeți acest comentariu și ' voi uita de el – nu ' nu știu alt mod de a răspunde.