Jag fick ett förvirrande e-postmeddelande från Google idag. Det hade ämnet ”Kritisk säkerhetsvarning” och kroppen sa delvis ”Google har blivit medveten om att någon annan känner till ditt lösenord, och vi har vidtagit åtgärder för att skydda ditt konto.”
Tydligen är dessa legitima. , och jag har bekräftat att länkar och meddelandehuvuden inte ser ut som ett nätfiskeförsök.
Bild: https://imgur.com/a/cvpfh3k
Det konstiga är att den angivna e-postadressen inte är en Gmail-adress – det är ett e-postmeddelande som är kopplat till ett av mina webbhotell-konton. Vi hämtar e-post från detta konto via POP3 in i vårt Gmail-konto.
Texten är entydig – de säger tydligt att de vet att någon känner till lösenordet till det här kontot. Men hur? Google har ingen speciell åtkomst till kontot. De har förmodligen en kopia av klartext av lösenord tillgängligt för POP3-autentisering, så om det fanns ett dataintrång på denna lagring på google så antar jag att det är ett sätt, men jag kommer tomt på något annat. Och texten ”logga in igen” ljud som om de menade att skicka det till Gmail men jag vet inte hur man frågar dem.
Även om min dåliga säkerhetshygien innebar att en tredje part hade tillgång, hur skulle Google veta det?
Svar
Eftersom Google har lösenordet för POP3-kontot kan det kontrollera vanliga lösenordsdumpar om lösenordet är känt offentligt. De hävdar inte att någon aktivt använder lösenordet med ditt POP3-konto, bara att någon vet det. Och de uppmanar dig att ändra lösenordet för att skydda ditt konto.
Kommentarer
- Jag antar att det är möjligt men jag tycker fortfarande att formuleringen är väldigt udda – vilka steg tar de för att ' skydda mitt konto '? E-postmeddelanden hämtades fortfarande dagen efter att jag fick det meddelandet och min värd bekräftar att inga IP-adresser utom min egen eller Google ' har åtkomst till e-postservern. lösenordet i fråga genererades automatiskt av KeePass och användes inte någon annanstans så det ' är möjligt det ' är i en offentlig dumpning men mycket osannolikt .
- @NickP, Samma upplevelse, frågor och känslor här. Jag fortsatte och kollade mitt lösenord i offentlig dumpning (och ändrade sedan det!) men det var inte ' t hittades. Jag tycker att det hela är konstigt.
- @schroeder mitt borttagna svar adresserade OP: s första fråga: " Texten är entydig – de säger tydligt att de vet att någon känner till lösenordet till det här kontot. Men hur? " (min fetstil). Mitt svar inkluderade också motivering wrt. NIST 800-63B (se övriga kommentarer mot detta svar). Jag var ' inte säker på att redigera Steffen Ullrich ' svar för att ge ytterligare information, och jag trodde inte heller att det skulle vara lämpligt, eftersom jag adresserade den senaste utvecklingen i Pwnd Passwords API. Ta gärna bort den här kommentaren och jag ' glömmer det – jag vet inte ' något annat sätt att svara.