他们不需要能够读取您的密码来针对已知的弱密码和可猜测密码进行测试。他们需要做的就是根据您的密码尝试所有可猜测的密码。它可以像他们应该做的那样被适当地散列和加盐。

他们可以快速做到这一点，因为他们可以合法访问密码哈希，并且可以简单地在后台运行测试。甚至还有一些服务可供公司使用，这些服务可以保存来自其他已知泄露密码数据库的泄露密码。

当然，一旦他们测试了它，他们可能会知道您的密码是什么（取决于他们如何测试它），但是攻击者也可以使用相同的方法。

因此，没有迹象表明密码处理不当。没有理由担心。但是，如果他们的自动化测试发现了它，那么您的密码可能很容易被猜到，应该尽快更改。

电子邮件可能是完全合法的，您实际上不需要知道明文密码就知道它是数据泄露的一部分，只是密码的哈希值是数据泄露的一部分，这就是 haveibeenpwned 的 API例如作品。

此外，如果您的密码很弱，您可能应该更改它:)

其他答案很好，但是您在问题中提到了至少理论上的第二种可能性，并且值得讨论。（这对于那些安全偏执狂来说是完全显而易见的，但也许不是其他所有人。）

如果“你有一个弱密码”消息不是来自它声称的站点，并且该消息的发送者——实际上是外部攻击者——有办法窃听，并潜伏在那里等待您按照要求登录并重置您的密码，然后繁荣，他已经掌握了您的新密码，“更安全”（即使他可能不知道您的旧密码是什么，或者它有多弱或有多串曾是）。

攻击者如何窃听您的密码重置会话？* 破坏了接受密码更改请求的站点部分 * 以某种方式嗅探您的 Internet 连接 * 在电子邮件中为您提供了一个有用的链接，该链接指向模仿真实站点的不同站点

@darnok 提到要小心正确的两件事：

• 验证“电子邮件似乎合法”
• 注意到该电子邮件没有方便的链接，建议的操作是“登录您的帐户并转到帐户->帐户详细信息以更改您的密码”

但是，这些天来，如果你收到这样的电子邮件，我会说你担心是对的。 如果您是一个资源充足的企图窃取您的密码的受害者，这正是它可能的样子。