È opportuno essere informati che ho inserito una vecchia password

Direi che diventa un compromesso - qual è il rischio che un utente malintenzionato entri in possesso di una vecchia password, riceve il messaggio, ottiene un canale per l'utente legittimo, usa un attacco di social engineering per ottenere la password legittima rispetto al rischi / costi associati agli utenti che non ricevono questo promemoria e contattano invece il supporto tecnico o impongono la reimpostazione della password quando un promemoria avrebbe aiutato.

Sospetto che in questo caso sia emerso che i vantaggi del promemoria superassero le informazioni aggiuntive. Soprattutto perché è probabile che ottenere una vecchia password per un utente sia facile come ottenere una nuova password, quindi perché passare il tempo a leggere questo messaggio se è possibile accedere all'account?

1. È abbastanza comune conservare una cronologia delle password in un sistema di autenticazione. Ricorda, stanno memorizzando hash / rappresentazioni della tua password, non la tua password reale e si stanno confrontando con quelle, quindi non c'è molto rischio di esposizione o ingegneria sociale qui. Immagino ci sia un piccolo rischio qui, che se un intruso sta intercettando il tuo traffico di rete ed è MiTM (anche su SSL) vedrà la tua password e ora è vecchia e può presumere che stai usando la password su altri siti. Tuttavia, se il tuo traffico viene già intercettato, vedrà anche la nuova password e probabilmente tutto il tuo traffico.

2. Il messaggio che dice quando hai cambiato la password non rappresenta un rischio reale per la sicurezza. Questo è il modo in cui determini se l'ultima modifica della password è stata eseguita da te, se non ricordi di aver cambiato la password in quel momento, dovresti assicurarti di cambiarla ora e capire come sei stato compromesso. Per quanto riguarda la rete locale o il computer, probabilmente usa solo il tuo indirizzo IP pubblico; se sei dietro un router di casa (usando NAT) tutti i tuoi computer appariranno su Internet come lo stesso IP. Sono davvero sorpreso che non ti dica che la tua password è stata cambiata da un altro PC o rete, ho visto che Google mi ha avvertito dei tentativi di accesso da IP in altri paesi.

Non sono sicuro di quale sia il problema dell'ingegneria sociale in questo scenario - ti vengono poste domande come "A che scuola frequentavi?" come una domanda di sfida (ad es. qualcosa di pubblico o parte del tuo profilo Facebook?).

Con molti sistemi, un utente che dimentica la sua password può autenticarsi tramite altri mezzi e assegnare una nuova password. Sfortunatamente, in molti casi, è possibile che un impostore usi questi "altri mezzi" per autenticarsi e cambiare la password dell'account in modo che lui (l'impostore) possa accedervi ma l'utente originale non può. Se il prossimo tentativo dell'utente legittimo di accedere con la password che aveva impostato in precedenza aveva semplicemente detto "Password errata", l'utente legittimo poteva (a torto) credere di aver dimenticato la sua password e non rendersi mai conto che l'account era stato compromesso. Informando l'utente che la password è stata cambiata quando lui stesso non aveva cambiato, avrebbe comunicato che l'account era stato violato. Il valore di tale avviso potrebbe in molti casi superare sostanzialmente qualsiasi rischio per la sicurezza che potrebbe rappresentare.