周二,谷歌揭示了一个留下的错误G套房用户的用纯文本存储的密码在过去的14年中。对于初学者,密码不应该以这种格式存储,因为这样做会使它们容易受到潜在数据泄露的影响。
需要明确的是,密码已加密,但未被冲洗。尽管公司指出没有发生这种访问,但这种错误可能使Google员工能够访问用户的凭据。
纯文本密码
需要明确的是,该错误仅影响G Suite业务用户;免费用户不受影响。
“我们一直在进行彻底的调查,没有看到无法访问或滥用受影响的G套件证书的证据,”说Google Cloud的工程苏珊娜·弗雷(Suzanne Frey)副总裁。
所讨论的错误是由于密码恢复实现中“错误”的结果,该导致了Google的某些密码自2005年以来未经压力的密码,直到该方法中断为止。尽管Google说没有证据表明有人滥用了任何信息,但如果入侵者破解了加密,则有可能直接访问登录。
哈希的重要性
哈希是一种安全技术,它允许Google在不知道其密码的情况下使用户访问其帐户。 Google的登录系统与Google存储的Hash匹配。这是一种令人难以置信的安全方法,可以追逐和进一步确保一个人的帐户凭据。所讨论的错误是有缺陷的实现的结果,该实施是存储和加密密码的,但从未通过Google的哈希算法。
尽管没有任何违反记录的记录,但Google没有抓住任何机会,并要求G Suite管理员更改密码。它也会自动为那些无所事事的人重置密码。同样,免费的Google帐户不会受到错误的影响,因此不必担心。
弗雷说:“要明确,这些密码仍然存在于我们安全的加密基础架构中。此问题已解决,我们没有看到无法访问或滥用受影响密码的证据。”
该事件强调了强大的多因素身份验证的重要性,如Gizmodo笔记。失去对密码的控制很容易,因此为什么企业通过将密码分层具有多个身份验证因素来防止漏洞。此外,这也是一个警告性的故事,强调优先考虑从一开始的安全性是多么重要。如果公司不这样做,那么以后发生此类事件很有可能。
