图片来源:The Verge
日前,Twitter 在其官方博客上表示,他们在应用内部发现了新的密码漏洞,“出于谨慎考虑”,建议 3.3 亿月活跃用户都能够修改下密码。
Twitter 强调,此漏洞非人为导致、也不存在违反滥用的情况。其首席技术官 Parag Agrawal 表示,该漏洞是在散列处理(将密码转换成随机字符串的过程)中发现的,导致密码被以普通文本的形式存储在了 Twitter 内部日志中。
通常情况下,我们会使用“bcrypt”函数进行散列处理来掩盖密码,该函数使用存储在 Twitter 系统中的随机数字和字母替换掉用户实际设置的密码。这使得内部系统能够在不泄露密码的情况下验证帐户——这是一个行业标准。
由于我们的技术疏忽,导致在完成散列过程前密码被写入了内部日志。目前,我们已经加以修复,并正部署措施预防这一漏洞再度出现。
但是,Twitter 公司并没有说明是何时发现的这个漏洞,也未透露有多少用户的密码可能已被泄漏,但该公司确实正在积极敦促其整个用户群更改密码。
此外,他们也提示到,用户可以采取以下几个步骤来保证帐户安全:
更改 Twitter 密码,并且尽量不要使用之前的常用密码;
增加密码强度,并且保证与其他网站的密码有所区分;
开启登录验证,即双因素验证——这是能够提升帐户安全性的最佳措施;
可以启用 LastPass、1Password 等账号密码管理软件,在任何地方都可以使用强大而独特的密码。
“发生这件事我们非常抱歉”,Twitter 在其博客中写到,“我们感谢用户对我们的信任,并会努力维系这份信任感。”
目前来看,虽然此次的密码漏洞涉及面较广,但是因为系 Twitter 内部的原因,所以并没有造成很大的影响。而且有 Facebook 的前车之鉴,在社交平台人人自危的情况下,Twitter 的“自杀式”披露还是颇为理智的。
虽说此消息一经公布后,Twitter 的股价直接下跌了 1%,也难以解释为什么 Twitter 这样的公司会犯下如此“低级”的错误。但这也是一个好的转变,表明这些社交平台正在将更多的主动权交到用户手中。
责任编辑:韩希宇
免责声明:
中国电子银行网发布的专栏、投稿以及征文相关文章,其文字、图片、视频均来源于作者投稿或转载自相关作品方;如涉及未经许可使用作品的问题,请您优先联系我们(联系邮箱:cebnet@cfca.com.cn,电话:400-880-9888),我们会第一时间核实,谢谢配合。