今天登錄推特的時候��,系統發布一則“重要更新”���,言辭含糊�,說因為系統BUG�����,要求用戶“出于高度謹慎之目的”修改密碼����。
在推特的官方博客里詳細介紹了這個BUG�����,用戶修改密碼的主要原因是�����,此前發生的一個故障導致部分用戶的賬號密碼以純文本的形式出現在了該公司的內部網絡上�����。
推特稱�����,經內部調查發現�,并無跡象表明這些密碼已被公司內部人員盜取或濫用��。盡管如此�����,推特仍敦促所有用戶“出于高度謹慎之目的”而考慮更改密碼��。
該公司并未透露總共有多少用戶的賬號密碼受到了影響���。
外媒報道稱����,正常情況下�����,密碼等敏感的個人數據應以HASH(散列)的形式進行存儲�����,利用字母和數字的組合來保護密碼本身的內容���。但推特的故障則導致用戶密碼以純文本形式公開存儲在公司內部的一個日志上��,沒有進行任何HASH(散列)處理�。
所謂“HASH”(散列)�,就是把任意長度的輸入(又叫做預映射��, pre-image)����,通過散列算法�,變換成固定長度的輸出�����,該輸出就是散列值��。這種轉換是一種壓縮映射��,也就是�,散列值的空間通常遠小于輸入的空間��,不同的輸入可能會散列成相同的輸出�,所以不可能從散列值來確定唯一的輸入值�����。簡單的說就是一種將任意長度的消息壓縮到某一固定長度的消息摘要的函數�。
推特在博文里稱:“我們近日發現了一個bug�,該bug導致密碼無遮掩地被存儲在一個內部日志上�����。我們已經修復了這個bug�,沒有跡象表明密碼被任何人盜取或濫用�。作為預防措施���,用戶應考慮在所有使用過同一密碼的服務上更改密碼���。”
該公司指出��,目前“并無理由認為這些密碼信息離開過推特的系統”����,也并無理由認為這些無保護的密碼已被黑客獲取���,但未知的風險仍舊存在����。推特建議用戶更改密碼以作為一種預防措施�。
推特對此事件的解釋如下:“我們利用一種所謂‘bcrypt’(注:這是專門為密碼存儲而設計的一種算法)的功能��,通過所謂的‘散列’進程來掩蔽密碼��,這種程序會用存儲在推特系統內部的一系列隨機數字和字母來替代真實的密碼�����,從而使得我們的系統能在不暴露用戶密碼的情況下驗證賬號身份憑證��,這是一種行業標準�。由于受到一個bug的影響�����,密碼在散列進程完成之前被寫入了一個內部日志��。我們自己發現了這個錯誤���,并已實施了計劃來防止這個bug再次發生����。”
微評:我原以為只有CSDN這模樣的才會明文存儲密碼�����,沒想到啊沒想到���,推特這濃眉大眼的家伙也開始明文存儲密碼了�����。
