[問題] Google來信告知密碼外洩 - MobileComm板

看板 MobileComm
作者 nonpolar (Nonpolar)
標題 [問題] Google來信告知密碼外洩
時間 Tue Nov 10 11:48:18 2020

早上手機收到一封Google寄來的訊息

https://i.imgur.com/oSLqYIh.png

說偵測到我的密碼外洩

Google 是怎麼知道我的密碼被外洩了??

我看登入活動紀錄

也都滿正常的沒有其他裝置登入

請問Google是麼判斷的??

--

--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 114.46.64.120 (臺灣)
※ 文章代碼(AID): #1VgWs4jB (MobileComm)
※ 文章網址: https://www.ptt.cc/bbs/MobileComm/M.1604980100.A.B4B.html

推 boogieman: 有帳號外洩情報分享站或暗網外流名單之類的吧1F 11/10 11:50

推 teddy: 不一定是google的密碼有可能是存在google的其他網站密碼2F 11/10 11:51

推 roywang123: 他只是提醒你你的密碼太簡單很容易破解
不是說真的被外洩
存在google裡面的4F 11/10 11:52

推 redmoon168: 原來只是提醒…我上月也收到手機竟然沒辦法改害我衝回家用電腦改7F 11/10 11:54

推 AISC: 你有用Chrome 或 Android記憶密碼吧9F 11/10 11:54

推 suichui: 有外洩事件啊，這波是Hotels.com、Booking.com之類10F 11/10 11:55

→ james732: Google會檢查密碼是不是跟已知外洩事件設定相同
如果你在A站外洩而其他站用同一組帳號密碼非常危險11F 11/10 11:59

推 moebear: google把你密碼拿去跟外站的外洩密碼比對13F 11/10 12:03

→ hifan: 先確認是不是釣魚要騙帳密的14F 11/10 12:04

推 weepingkito: 就直接去google首頁點管理帳號改啊，就算是釣魚你不點他給的連結就沒事15F 11/10 12:06

→ usmaik: 儲存密碼會被Google比對外洩密碼17F 11/10 12:25

推 wolfking: 不過我常用的密碼兩個帳號都一樣，只有少用那個被寄信說密碼外洩18F 11/10 12:27

推 gomidonnsine: 也是最近被警告密碼外洩，最後就把紅標的密碼全部改掉了
https://i.imgur.com/fwD1qZM.jpg20F 11/10 12:27

→ gomidonnsine: 可是用了十年，要全改太累了…23F 11/10 12:29

推 a120463: 這個是真的，上個星期才被改一組24F 11/10 12:30

推 james732: 理想上每個網站密碼不能重覆，但有點困難 XD25F 11/10 12:31

噓 lianpig5566: 說不是真的外洩的拜託去更新一下資訊不要出來害人26F 11/10 12:33

推 hyghmax1202: 回4樓就是有被外洩才會跳出外洩提醒如果只是太簡單或重複會另外顯示回原Po 不是外洩就一定會被盜用只是還沒被有心人士登入而已
20樓真的很累我花了三天才改完而且這都只是有紀錄的密碼而已27F 11/10 12:33

→ kksoc123: 懶人法：重要網站設複雜密碼你覺得的就算被盜也沒差的網站就設簡單密碼32F 11/10 12:36

推 tomsawyer: 比如說你存了192.168.1.1 admin/admin 他也會說你遭洩漏lul34F 11/10 12:41

推 StarRiver: 現在不是都可以設兩步驟驗證了？懶得改密碼，兩步驟就設一下吧36F 11/10 12:41

推 jl834021: 花時間把密碼都改不一樣的38F 11/10 12:41

推 Gedu: 對我來說只有能用二階段認證的我才會把他當成重要網站39F 11/10 12:41

推 tcancer: google對區網帳密也在那邊抓外洩真夠煩的41F 11/10 12:49

→ tttkkk: 它是提醒你有儲存密碼的網站有外洩事件建議你改掉你儲存的密碼都在你的 Google 帳號而且有對應網址哪些網站有密碼外洩當然就知道要通知你
不是在講你 Google 的密碼外洩
不過它一次通知我超多網站有外洩事件哪有時間去改42F 11/10 12:57

推 kokokko416: 我也是耶47F 11/10 13:01

噓 PopeVic: 噓那些搞不清楚狀況亂講話的==48F 11/10 13:06

推 verystupid: 跳過+1 後來就看開了重要的綁驗證器剩下的放水流49F 11/10 13:11

推 littlefish1: 我測試過 2個google帳號在同個網站存同一組帳號帳密相同時他就會通知代表google會比對不同人持有的帳密是否一致50F 11/10 13:15

噓 tom282f3: 認真回就是有外洩才會提醒你
外洩不一定是列出的那個網站
可能是其他同帳密的網站被攻破
然後Firefox也有提供檢查帳密外洩的服務
https://monitor.firefox.com53F 11/10 13:19

Firefox Monitor

Find out if you’ve been part of a data breach with Firefox Monitor. Sign up for alerts about future breaches and get tips to keep your accounts safe. ...

噓 bomda: 不清楚也沒關係啊換個密碼要幾分鐘？58F 11/10 13:27

噓 sincere77: 你有儲存在Google帳戶裡的其他網站密碼嗎？有的話知道外洩很意外嗎59F 11/10 13:42

→ aq981334: 用Bitwarden亂數產生密碼就好了
也把密碼存在Bitwarden就行了，伺服器還能自己架設產生跟記錄密碼不過幾秒鐘的事而已61F 11/10 13:51

推 oocooc: 用版本比較落後的瀏覽器也會
十年太久了啦，現在科技這麼發達，而且有的公司會把會員資料拿去賣錢64F 11/10 13:56

→ namana: 快換阿67F 11/10 14:00

→ KevinYu0504: 4樓說的並不正確。這類的提醒，是因為之前有傳出幾次密碼外洩事件，多達百萬組密碼外洩，被披露後有過密碼外洩疑慮的網站經過 Google 對比，發現樓主有曾經在這些網站上有過帳號密碼的話，就會出現這類的提醒。
簡單來說就是樓主曾經使用並註冊過密碼外洩的網站，Google 在提醒你而已。68F 11/10 14:20

推 mibro: 印象中是G社想辦法買到了洩漏名單然後丟進資料庫比對使用者存在Chrome的有沒有在上面有錯請見諒75F 11/10 14:29

推 not5566: 外洩的帳號多到我不知道要怎麼改= =77F 11/10 14:29

→ bingxyz: 全部用隨機密碼都存在Google帳戶不就好了78F 11/10 16:05

→ chiangboy: 早上也有收通知，也被Google強迫更換密碼。79F 11/10 16:22

推 wjill: 我是iPhone更新iOS後跳出這訊息說我全外洩，懶得改又不能關掉80F 11/10 16:27

→
simon9331

台灣 01-26 16:33
···
我上網瀏覽很少儲存密碼, 自己記著...
→
jengyic

台灣 06-19 17:07
密碼用超長密碼, NIST 建議至少 16 碼, 英文大小寫數字特殊符號用幾個, 強度一定讓暴力破解難度大增. 但是如果網站用弱加密 hash 或直接存明碼, 也是無法防止網站資料庫外洩被取得密碼. 或許改用生物特徵加上 2FA OTP 可以提供良好的防禦.
→
jengyic

台灣 06-20 00:24
NIST 2021 指導手冊. https://pages.nist.gov/800-63-3/sp800-63b.html#sec5