Google 密碼外洩驚魂記 - 黑暗執行緒

雖然確認是真的Google 通知信，但下意識還是沒點信中的連結，寧可從Gmail 介面右上角[1]點Google 帳戶[2]繞遠路查看詳情：. 選安全性[3]，介面提示有偵測 ... Gmail信箱收到一封Goole寄來，主旨為「變更您所儲存的密碼(部分密碼已外洩)」的警告信：變更您所儲存的密碼(部分密碼已外洩)由於您使用的網站或應用程式發生資料侵害事件，您儲存在Google帳戶中的一或多個密碼已遭外洩。

請放心，您的Google帳戶並未受到影響。

如要變更您儲存的密碼及查看其他個人化安全性建議，請執行安全設定檢查。

第一時間的反應是驚嚇，下一秒則是懷疑社交攻擊騙密碼的詐騙信。

爬文查到Google2019年推出的密碼外洩警示功能(參考：Google提升Chrome密碼防護，當帳密被盜時主動發出警告byT客邦)，檢查送信者跟連結是來自Google沒錯，看來確有其事。

它的運作原理是Google發現其他網站、公司發生資料外洩事件時，透過雜湊演算法可以不知密碼內容的情況下比對密碼是否在洩漏資料中出現。

依據Google的說明，它會從包含Dropbox、imgur...等資料來源的資料侵害事件檢查清單檢查密碼和使用者名稱組合是否已外洩，若有便發出警告。

發現通知是真的讓我緊張起來。

雖然確認是真的Google通知信，但下意識還是沒點信中的連結，寧可從Gmail介面右上角[1]點Google帳戶[2]繞遠路查看詳情：選安全性[3]，介面提示有偵測到問題，點「保護您的帳戶」[4]：你已儲存的密碼處顯示有三個遭外洩的密碼[5](未閱讀前另有紅字提醒)。

點開前好緊張，不知損失範圍有多大？看到外洩密碼清單，放下心中大石，算是誤會一場。

首先，通知信的意思並不是該Gmail密碼外流，而是記憶在這個Gmail帳號裡的帳號密碼有風險。

而三個有外洩風險的帳號密碼都是測試用的，前兩個用demo/demo當帳密，第三個則是亂取的，密碼為123456。

不過，第三個帳號案例也讓我警覺到，有可能我真的用過該信箱配123456註冊某個我不信任的網站，而該網站被駭且資料外流。

也幸好當時有遠見，沒用真實信箱。

(當然也有另一種可能，該帳密沒外洩，而是123456這個低級密碼，不管配什麼帳號都視為有風險)順便提醒，不同的帳號永遠不要共用密碼。

例如你用Gmail信箱去註冊某個網站，密碼還設成跟Gmail密碼一樣，若該網站被人入侵，而且開發者還很低級地用可還原明碼方式儲存你的密碼，那駭客就拿到你的Gmail帳號跟密碼了。

此時「兩步驟驗證」將是你的最後防線，現在就把它打開吧!ExperinceofexamingpasswordleakingwhenreceivingGooglealertmail.ShareonFacebookShareonTwitterShareonGoogle+EmailComments#2021-08-1208:39AMbyByTimGOOGLE帳戶還有進階保護計畫，只是要先買兩把安全金鑰匙，聽說更安全，我是有註冊進階保護計畫，只能感覺不了差異。

#2021-08-1201:16PMbySlash應該是說他把你記憶的密碼或這個密碼的雜湊拿去比對目前有被公布的外洩清單，中獎的話就通知你。

M$EDGE也有內建，詳見： 「在線上外洩中發現密碼時顯示警示，我們會向已知的公開認證存放庫檢查您儲存在MicrosoftEdge內的密碼，並在找到相符結果時向您發出警示。

」#2021-08-1202:28PMbySwitch這個功能在Chromium行之可能有幾年了，其實就是根據你keyin/record的密碼雜湊後去比對外洩的密碼清單，黑大可以自己建立一個website然後設定一個很不安全的密碼如admin或123456等，再用ChromiumCoreBrowser(Chrome或現在的Edge都是)來進行登入，這時候瀏覽器都會跳通知來提醒，不過看來這個功能近來才整合進GoogleServices#2021-08-1206:23PMbyJeffreytoSlash,Switch,謝謝補充。

PostacommentCommentNameCaptcha50+24=黑暗執行緒黑暗後花園OrcsWeb:WindowsServerHosting2021-08-12JeffreyGoogle密碼外洩驚魂記toSlash,Switch,謝謝補充。

2021-08-12SwitchGoogle密碼外洩驚魂記這個功能在Chromium行之可能有幾年了，其實就是根據你keyin/record的密碼雜...2021-08-12SlashGoogle密碼外洩驚魂記應該是說他把你記憶的密碼或這個密碼的雜湊拿去比對目前有被公布的外洩清單，中獎的話就通知你。

M$...2021-08-12ByTimGoogle密碼外洩驚魂記GOOGLE帳戶還有進階保護計畫，只是要先買兩把安全金鑰匙，聽說更安全，我是有註冊進階保護計畫，只能...