Gmail 信箱收到一封 Goole 寄來,主旨為「變更您所儲存的密碼 (部分密碼已外洩)」的警告信:

變更您所儲存的密碼 (部分密碼已外洩)
由於您使用的網站或應用程式發生資料侵害事件,您儲存在 Google 帳戶中的一或多個密碼已遭外洩。請放心,您的 Google 帳戶並未受到影響。
如要變更您儲存的密碼及查看其他個人化安全性建議,請執行安全設定檢查。

第一時間的反應是驚嚇,下一秒則是懷疑社交攻擊騙密碼的詐騙信。

爬文查到 Google 2019年推出的密碼外洩警示功能(參考: Google提升Chrome密碼防護,當帳密被盜時主動發出警告 by T客邦),檢查送信者跟連結是來自 Google 沒錯,看來確有其事 。它的運作原理是 Google 發現其他網站、公司發生資料外洩事件時,透過雜湊演算法可以不知密碼內容的情況下比對密碼是否在洩漏資料中出現。依據 Google 的說明,它會從包含 Dropbox、imgur... 等資料來源的資料侵害事件檢查清單檢查密碼和使用者名稱組合是否已外洩,若有便發出警告。

發現通知是真的讓我緊張起來。雖然確認是真的 Google 通知信,但下意識還是沒點信中的連結,寧可從 Gmail 介面右上角[1]點 Google 帳戶[2]繞遠路查看詳情:

選安全性[3],介面提示有偵測到問題,點「保護您的帳戶」[4]:

你已儲存的密碼處顯示有三個遭外洩的密碼[5] (未閱讀前另有紅字提醒)。點開前好緊張,不知損失範圍有多大?

看到外洩密碼清單,放下心中大石,算是誤會一場。首先,通知信的意思並不是該 Gmail 密碼外流,而是記憶在這個 Gmail 帳號裡的帳號密碼有風險。而三個有外洩風險的帳號密碼都是測試用的,前兩個用 demo/demo 當帳密,第三個則是亂取的,密碼為 123456。

不過,第三個帳號案例也讓我警覺到,有可能我真的用過該信箱配 123456 註冊某個我不信任的網站,而該網站被駭且資料外流。也幸好當時有遠見,沒用真實信箱。(當然也有另一種可能,該帳密沒外洩,而是 123456 這個低級密碼,不管配什麼帳號都視為有風險)

順便提醒,不同的帳號永遠不要共用密碼。例如你用 Gmail 信箱去註冊某個網站,密碼還設成跟 Gmail 密碼一樣,若該網站被人入侵,而且開發者還很低級地用可還原明碼方式儲存你的密碼,那駭客就拿到你的 Gmail 帳號跟密碼了。此時「兩步驟驗證」將是你的最後防線,現在就把它打開吧!

Experince of examing password leaking when receiving Google alert mail.


Comments

# by ByTim

GOOGLE帳戶還有進階保護計畫,只是要先買兩把安全金鑰匙,聽說更安全,我是有註冊進階保護計畫,只能感覺不了差異。

# by Slash

應該是說他把你記憶的密碼或這個密碼的雜湊拿去比對目前有被公布的外洩清單,中獎的話就通知你。 M$ EDGE 也有內建,詳見: 「在線上外洩中發現密碼時顯示警示,我們會向已知的公開認證存放庫檢查您儲存在 Microsoft Edge 內的密碼,並在找到相符結果時向您發出警示。」

# by Switch

這個功能在 Chromium 行之可能有幾年了,其實就是根據你 key in/record 的密碼雜湊後去比對外洩的密碼清單,黑大可以自己建立一個 website 然後設定一個很不安全的密碼如 admin 或 123456 等,再用 Chromium Core Browser (Chrome 或現在的 Edge 都是)來進行登入,這時候瀏覽器都會跳通知來提醒,不過看來這個功能近來才整合進 Google Services

# by Jeffrey

to Slash, Switch, 謝謝補充。

Post a comment