週二,Google揭示了一個留下的錯誤G套房用戶的用純文本存儲的密碼在過去的14年中。對於初學者,密碼不應該以這種格式存儲,因為這樣做會使它們容易受到潛在數據洩露的影響。
需要明確的是,密碼已加密,但未被沖洗。儘管公司指出沒有發生這種訪問,但這種錯誤可能使Google員工能夠訪問用戶的憑據。
純文本密碼
需要明確的是,該錯誤僅影響G Suite業務用戶;免費用戶不受影響。
“我們一直在進行徹底的調查,沒有看到無法訪問或濫用受影響的G套件證書的證據,”說Google Cloud的工程蘇珊娜·弗雷(Suzanne Frey)副總裁。
所討論的錯誤是由於密碼恢復實現中“錯誤”的結果,該導致了Google的某些密碼自2005年以來未經壓力的密碼,直到該方法中斷為止。儘管Google說沒有證據表明有人濫用了任何信息,但如果入侵者破解了加密,則有可能直接訪問登錄。
哈希的重要性
哈希是一種安全技術,它允許Google在不知道其密碼的情況下使用戶訪問其帳戶。 Google的登錄系統與Google存儲的Hash匹配。這是一種令人難以置信的安全方法,可以追逐和進一步確保一個人的帳戶憑據。所討論的錯誤是有缺陷的實現的結果,該實施是存儲和加密密碼的,但從未通過Google的哈希算法。
儘管沒有任何違反記錄的記錄,但Google沒有抓住任何機會,並要求G Suite管理員更改密碼。它也會自動為那些無所事事的人重置密碼。同樣,免費的Google帳戶不會受到錯誤的影響,因此不必擔心。
弗雷說:“要明確,這些密碼仍然存在於我們安全的加密基礎架構中。此問題已解決,我們沒有看到無法訪問或濫用受影響密碼的證據。”
該事件強調了強大的多因素身份驗證的重要性,如Gizmodo筆記。失去對密碼的控制很容易,因此為什麼企業通過將密碼分層具有多個身份驗證因素來防止漏洞。此外,這也是一個警告性的故事,強調優先考慮從一開始的安全性是多麼重要。如果公司不這樣做,那麼以後發生此類事件很有可能。
