1. 在身份验证系统中保留密码历史记录是相当普遍的。请记住，他们存储的是您密码的哈希/表示，而不是您的实际密码，并且正在与这些密码进行比较，因此这里没有太多暴露或社会工程的风险。我想这里有一个小风险，如果攻击者正在拦截您的网络流量并且是 MiTM（即使在 SSL 上），他会看到您的密码，现在它是旧密码，并且可以假设您在其他网站上使用密码。但是，如果您的流量已经被拦截，他们也会看到新密码，可能还有其他所有流量。

2. 更改密码时的提示不会构成真正的安全风险。这样您就可以确定上次密码更改是否由您执行，如果您不记得当时更改了密码，您应该确保现在更改密码并弄清楚您是如何被入侵的。至于本地网络或计算机，它可能只是使用您的公共IP地址；如果您在家庭路由器后面（使用 NAT），那么您所有的计算机都会在 Internet 上显示为相同的 IP。我真的很惊讶它没有告诉您您的密码是从另一台 PC 或网络更改的，我已经看到谷歌警告我有关从其他国家的 IP 尝试登录的警告。

我不确定在这种情况下社会工程问题在哪里——你是否被问到诸如“你上哪所高中？”之类的问题。作为一个挑战问题（例如，公开的内容或您 Facebook 个人资料的一部分？）。

我想说这是一种权衡——攻击者使用旧密码进入、获取消息、获取合法用户的渠道、使用社会工程攻击获取合法密码与风险/成本的风险是什么？与未收到此提醒的用户相关联，而是联系技术支持，或在提醒会有所帮助时强制重置密码。

我怀疑在这种情况下，提醒的好处超过了额外的信息。特别是因为为用户获取旧密码很可能与获取新密码一样容易，所以如果您可以入侵该帐户，为什么还要花时间获取此消息呢？

对于许多系统，忘记密码的用户可能会通过其他方式验证自己并分配新密码。不幸的是，在许多情况下，冒名顶替者可能会使用这些“其他方式”来验证自己并更改帐户的密码，以便他（冒名顶替者）可以访问它，但原始用户不能。如果合法用户下次尝试使用他之前设置的密码登录时只是简单地说“密码错误”，那么合法用户可能（错误地）认为他忘记了密码，而从未意识到该帐户已被盗用。如果用户自己没有更改密码，则通知用户密码已更改，这将通知该帐户已被黑客入侵。