Twitter 宣布全球每一位 Twitter 用户(全球 3.3 亿用户)都应该更新他们的密码。该警告是在 Twitter 系统中发现一个错误后发出的,该错误意外地将所有用户的密码保留为纯文本。
这一令人震惊的消息是通过公司博客文章Twitter 首席技术官 Parag Agrawal 昨天发布了这一消息。阿格拉瓦尔在博客中解释说,尽管 Twitter 使用散列法来屏蔽密码——这样公司里的任何人都无法访问它们——但在其系统中发现了一个错误,该错误意外地将未屏蔽的密码存储在“内部日志中”。
之前未被发现的日志显然位于 Twitter 的服务器上,任何人都可以快速查看。然而,据 Twitter 称,没有人知道该日志,也没有迹象表明任何员工或黑客曾经访问过该日志。
尽管有这样的说法,Twitter 强烈建议全球所有 3.3 亿用户按照以下步骤更新密码:
- 登录您的帐户
- 单击屏幕右上角的帐户头像气泡
- 点击设置和隐私
- 从左侧菜单中选择密码
- 现在输入您的旧密码并选择新的安全密码
可怕的错误
在博客文章中,Agrawal 解释了 Twitter 保护用户密码的过程:
“我们使用 bcrypt 函数通过哈希处理来屏蔽密码,该函数用 Twitter 系统中存储的一组随机数字和字母替换实际密码。这使我们的系统能够验证您的帐户凭据,而不会泄露您的密码。这是行业标准。”
不幸的是,尽管这是一个行业标准,但 Twitter 的开发人员却把整个事情搞砸了。 Twitter 的系统并没有在将密码存储到服务器上之前对密码进行哈希处理,而是在完成哈希处理过程之前意外地将密码写入内部日志。
Agrawal 表示,该错误是由 Twitter 工程师发现的,该公司已迅速采取行动纠正该问题:
“我们自己发现了这个错误,删除了密码,并正在实施计划来防止这个错误再次发生。我们没有理由相信密码信息曾经离开 Twitter 的系统或被任何人滥用。”
大胆的主张
尽管 Twitter 做出了大胆的保证,但我们很难忽视过去大量 Twitter 密码出现出售的情况。 2016 年,3200 万个 Twitter 密码被发现在 Twitter 上出售暗网。
当巨大的密码泄露事件被发现时,泄露源评论说 Twitter 密码不可能来自该公司本身。它之所以相信这一点,是因为 Twitter“不以纯文本格式存储密码”。
专业隐私分析
尽管没有迹象表明 Twitter 的系统已受到损害,但在此类情况下应始终保持谨慎。虽然 Twitter 声称它只是出于“高度谨慎”而要求用户更新密码,但我们敦促所有 Twitter 用户不仅立即更新其 Twitter 密码,而且还更新使用相同密码的任何其他服务。
网络犯罪分子非常清楚人们经常对多个帐户使用相同的密码。因此,使用相同的密码更新所有帐户至关重要。否则,您可能会让其他在线帐户暴露给黑客。
请记住,强密码对于每个帐户都应该是唯一的,并且应该足够复杂才能被认为是真正安全的。因此,为了使您的帐户真正安全,您可能需要一个密码管理器,例如凯通。
此外,如果您还没有这样做,您应该认真考虑使用双因素身份验证 - 不仅在您的 Twitter 帐户上 - 而且在所有可用的服务上。这样做将大大提高这些帐户的安全性。
标题图片来源:nopporn/Shutterstock.com
图片来源:Andrew Krasovitckii/Shutterstock.com