谷歌用純文本存儲了一些密碼十四年

在今天的博客文章中，谷歌披露它最近發(fā)現了一個錯誤，導致部分G Suite用戶以純文本形式存儲密碼。該漏洞自2005年以來一直存在，盡管Google表示無法找到任何人的密碼訪問不當的證據。它正在重置可能受影響的任何密碼，并讓G Suite管理員了解該問題。

G Suite是Gmail和Google的其他應用程序的企業(yè)版本，顯然這個產品中出現的錯誤是因為專門為公司設計的功能。在早期，G Suite應用程序的公司管理員可以手動設置用戶密碼 - 例如，在新員工加入之前 - 如果他們這樣做，管理控制臺會以純文本形式存儲這些密碼而不是散列它們。此后，Google已從管理員中移除了該功能。

谷歌的帖子非常痛苦地解釋加密哈希是如何工作的，可能是為了確保圍繞這個錯誤的細微差別是明確的。盡管密碼以純文本形式存儲，但它們至少以純文本形式存儲在Google的服務器中，因此，如果它們只是在開放的互聯(lián)網上，它們就更難獲得。雖然Google沒有明確說明，但似乎還要確保人們不要將此錯誤歸咎于與其他明文密碼問題相同的類別，而這些密碼已被泄露出去。

呵呵，已經有這么多的，因為有線筆記。由于違規(guī)行為， Twitter建議所有3.3億用戶在3月份更改密碼。Facebook 以純文本形式存儲了 “數億”密碼，其中多達20,000名員工可以訪問這些密碼。Instagram不得不說，Facebook的漏洞實際上已經影響了數百萬的Instagram用戶(而不是之前披露的較小數字)。

就其本身而言，谷歌沒有說明有多少用戶可能受到這個錯誤的影響，除了說它影響了“我們的企業(yè)G Suite客戶的一部分” - 可能是2005年使用G Suite的任何人。盡管Google無法做到找到任何人惡意使用此訪問權限的證據，并不完全清楚誰也可以訪問這些純文本文件。

在任何情況下，它現在已經修復，Google在其關于整個問題的帖子中表示相應的抱歉：

我們非常重視企業(yè)客戶的安全，并為推進行業(yè)最佳的帳戶安全實踐而感到自豪。在這里，我們沒有達到我們自己的標準，也沒有達到我們客戶的標準。我們向用戶道歉，并會做得更好。