周二,谷歌揭示了一个离开的bugG套件用户的以明文形式存储的密码在过去14年里。对于外行来说,密码不应该以这种格式存储,因为这样做会使他们容易受到潜在的数据泄露。
需要说明的是,密码是加密的,但没有加密。这种漏洞可能使谷歌的员工能够访问用户的凭据,尽管该公司指出没有发生这种访问。
明文密码
需要说明的是,该漏洞只影响G Suite业务用户;免费用户不受影响。
“我们一直在进行彻底的调查,没有发现任何不当访问或滥用受影响的G Suite凭证的证据。”说谷歌Cloud的工程副总裁Suzanne Frey。
这个问题是由于密码恢复实现中的一个“错误”导致的,自2005年以来,谷歌的一些密码在其内部系统上没有恢复,直到该方法停止使用。虽然谷歌表示“没有证据”表明有人滥用了任何信息,但如果入侵者破解了加密,就有可能直接访问登录信息。
哈希的重要性
哈希是一种安全技术,它允许谷歌在不知道用户密万博体育登录首页码的情况下让用户访问他们的帐户。谷歌的登录系统将哈希值与谷歌存储的哈希值匹配。这是一种非常安全的方式来争夺和进一步保护一个人的帐户凭据。这个问题是一个有缺陷的实现的结果,密码被存储和加密,但从未通过谷歌的哈希算法。
尽管没有任何入侵记录,谷歌也不甘冒险,并已要求G Suite管理员更改密码。它还会自动为那些什么都不做的人重置密码。同样,免费谷歌账户不受漏洞影响,所以他们不需要担心。
“需要明确的是,这些密码保留在我们安全加密的基础设施中。这个问题已经解决了,我们没有看到任何证据表明受影响的密码被不当访问或滥用,”弗雷说。
该事件强调了强大的多因素认证的重要性,Gizmodo笔记.人们很容易失去对密码的控制,因此,企业通过使用多个身份验证因素对密码进行分层来防止漏洞是有道理的。此外,这也是一个警示故事,强调从一开始就优先考虑安全是多么重要。如果公司不这样做,以后就很有可能发生类似这样的事件。