Ich habe heute eine verwirrende E-Mail von Google erhalten. Es hatte den Betreff „Kritische Sicherheitswarnung“ und der Körper sagte teilweise „Google hat festgestellt, dass jemand anderes Ihr Passwort kennt, und wir haben“ Schritte unternommen, um Ihr Konto zu schützen „.

Anscheinend sind diese legitim und ich habe bestätigt, dass die Links und Nachrichtenkopfzeilen nicht wie ein Phishing-Versuch aussehen.

Bild: https://imgur.com/a/cvpfh3k

Das Seltsame ist, dass die angegebene E-Mail-Adresse keine Google Mail-Adresse ist – es handelt sich um eine E-Mail, die einem meiner Webhosting-Konten zugeordnet ist. Wir rufen E-Mails von diesem Konto über POP3 ab in unser Google Mail-Konto.

Der Text ist eindeutig – sie geben eindeutig an, dass sie wissen, dass jemand das Passwort für dieses Konto kennt. Aber wie? Google hat keinen besonderen Zugriff auf das Konto. Vermutlich haben sie die Klartextkopie des Passwort für die POP3-Authentifizierung verfügbar. Wenn also bei Google ein Datenverstoß in diesem Speicher aufgetreten ist, ist dies wahrscheinlich eine Möglichkeit, aber ich sehe nichts anderes. Und der Text „Anmelden“ ertönt Es ist so, als wollten sie es für Google Mail senden, aber ich weiß nicht, wie ich sie fragen soll.

Selbst wenn meine schlechte Sicherheitshygiene bedeutete, dass ein Dritter Zugriff hatte, wie würde Google es wissen?

Antwort

Da Google das Kennwort für das POP3-Konto hat, kann es die allgemeinen Kennwortspeicherauszüge <überprüfen / a> wenn das Passwort öffentlich bekannt ist. Sie behaupten nicht, dass jemand das Passwort mit Ihrem POP3-Konto aktiv verwendet, sondern nur, dass jemand es kennt. Und sie fordern Sie auf, das Passwort zu ändern, um Ihr Konto zu schützen.

Kommentare

  • Ich denke, das ist möglich, aber ich finde die Formulierung immer noch sehr seltsam – welche Schritte unternehmen sie, um ' mein Konto zu schützen '? Am Tag nach Erhalt dieser Nachricht wurden noch E-Mails abgerufen, und mein Host bestätigt, dass keine IPs außer meinen eigenen oder Google ' auf den Mailserver zugegriffen haben Das betreffende Passwort wurde von KeePass automatisch generiert und nicht anderweitig verwendet, sodass es ' möglich ist, dass ' in einem öffentlichen Speicherauszug liegt, dies jedoch sehr unwahrscheinlich ist .
  • @NickP, Gleiche Erfahrung, Fragen und Gefühle hier. Ich habe mein Passwort im öffentlichen Speicherauszug überprüft (und dann geändert!), aber es war nicht ' nicht gefunden. Ich finde das Ganze irgendwie seltsam.
  • @schroeder Meine gelöschte Antwort bezog sich auf die erste Frage des OP: " Der Text ist eindeutig – sie geben eindeutig an, dass sie wissen, dass jemand das Passwort für dieses Konto kennt. Aber wie? " (mein Fettdruck). Meine Antwort enthielt auch Begründungen. NIST 800-63B (siehe die anderen Kommentare zu dieser Antwort). Ich war ' nicht sicher, die Antwort von Steffen Ullrich ' zu bearbeiten, um zusätzliche Informationen bereitzustellen, und ich hielt es auch nicht für angemessen, wie ich befasste sich mit neueren Entwicklungen in der Pwnd Passwords API. Fühlen Sie sich frei, diesen Kommentar zu löschen, und ich ' werde ihn vergessen – ich kenne ' keine andere Möglichkeit zu antworten.

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.