【猎云网(微信号:ilieyun
)】5月4日报道(编译:Kim)
昨日,社交网站推特(Twitter)发文,敦促其3.36亿用户更改密码。推特承认,公司使用了一种名为“bcrypt”的哈希算法储存加密用户密码,但是“由于某个漏洞”,在完成散列加密之前,用户密码被以纯文本形式储存起来。
美国哥伦比亚广播公司(CBS)报道,出现问题的是推特的密码散列。通常情况下,推特的用户密码等敏感信息应被打乱后储存在其内部服务器上,这样可以在不泄露用户密码的情况下验证用户的登录信息,这是一种行业内的规范做法。
以下为推特声明全文:
当您为Twitter帐户设置密码时,我们会使用一种加密掩盖技术,以免公司员工看到它。但我们最近发现了一个漏洞,它在内部日志中存储了未被加密掩盖的密码。我们已经修复了该漏洞,且根据调查显示没有任何人员对这些密码有违规利用行为。
出于谨慎,我们建议您考虑在使用了此密码的所有账户服务上进行密码更改。您可以随时通过密码设置功能更改您的Twitter密码。
关于该漏洞的说明
我们使用一种名为bcrypt的函数算法,它通过一种散列过程来重新加密和掩盖密码,该函数是使用存储在推特系统内部的随机数字和字母来替换实际的密码。以此保证系统能够在不泄露密码的情况下验证您的帐户凭证,这也是一项行业标准。
此次漏洞在于,密码在经过散列函数处理之前,原密码内容就被写入内部日志。我们一经发现该漏洞就及时删除了密码,并正在实施相关计划来防止纰漏再次发生。
帐户安全提示
与此同时,虽然我们有证据表明密码信息未曾泄露出推特系统或被任何人滥用,但也建议您可以采取以下几个步骤来帮助我们保证您的帐户安全:
1)在Twitter和其他可能使用该相同密码的账号与相关服务上更改您的密码。
2)使用您不会在其他网站上重复使用的复杂密码。
3)启用登录验证,这是增加帐户安全性能采取的最佳措施。
4)使用密码管理器,确保您在任何地方都使用强大且独特的密码内容。
对此疏漏,我们感到非常抱歉。非常感谢您对我们的信任,并承诺在今后的日子更加努力去赢得这种信任。
