由于凭据存储错误,G Suite用户更改了密码

G Suite Plaintext Passwords

谷歌没有一个,而是两个密码存储错误直接影响了它的一些用户。这种类型的新闻势必会引起不少人的不满,但在每个人开始拉头之前,让我们看看实际发生了什么,谁应该担心,以及需要做些什么。

谷歌工程副总裁兼云信托公司的Suzanne Frey写了一篇解释这个问题的博客文章 ,这个消息在今天早些时候曝光。您需要知道的首要事项之一是消费者Google帐户不受影响。博客文章没有说明有多少用户的密码处理不当,但它确实注意到他们都属于使用Google G Suite应用付费的企业客户。换句话说,您的Gmail登录凭据一直保持安全。

Google无意中将一些密码存储在纯文本中

要了解谷歌的第一个密码存储错误,我们需要将磁带倒回大约十五年。当时,搜索引擎巨头收到了G Suite管理员的一些功能请求,他们想要更好地控制用户的密码。他们希望能够为个人用户恢复,分配和上传密码,这些密码应该简化将新人添加到企业网络的过程。 2005年,该功能已添加到管理控制台。

从那时起,它就被一种更有效,更安全的处理用户密码的方式所取代,但上个月谷歌意识到由于实施错误,该功能已经以明文形式留下了一些密码的副本。

第二个密码存储错误是从2019年1月开始。谷歌没有分享太多有关此问题的详细信息,但我们从Suzanne Frey的帐户中了解到,当他们为其中一个客户解决登录问题时,她的团队发现所做的更改四个月前,G Suite以简单的形式存储了密码。

密码没有泄漏到谷歌的基础设施之外

谷歌对整个事情感到相当尴尬。在通知中,Suzanne Frey为这些错误道歉,并指出账户安全性不佳表现不符合Google的标准。她还说,她的团队正在不知疲倦地审计所有系统,并确保类似的事件不再发生。当你听说像谷歌这样的大公司正在努力使用正确的密码存储时 ,确实令人担忧,但即便如此,也有一两件事表明它并不像看起来那么糟糕。

首先,Suzanne Frey指出明文密码是在谷歌的内部基础设施上找到的。这并没有改变他们不应该在那里的事实,但它确实意味着只有Google员工可以访问它们。 Frey的团队仍在调查这些问题,但她确实表示没有任何证据表明任何滥用泄漏数据的行为。尽管如此,受影响组织的管理员已经收到通知,暴露其G Suite密码的用户将很快被迫更改。

总而言之,谷歌似乎正在很好地处理这个问题,但这并不都是好消息。我们最近目睹了一些类似的事件,所有这些事件都涉及到拥有数亿用户的大型服务. 就在一年多前,Twitter 承认 ,在一段有限的时间内,所有用户的密码都以明文形式存储。最近,Facebook 还表示 ,数百万登录凭证在社交网络的后端系统上保持可读形式。一个令人担忧的趋势似乎正在出现,我们只能希望硅谷巨头一直在关注并将吸取教训。

May 23, 2019

发表评论

重要!若要继续到下一步,请完成以下简单的数学问题。
Please leave these two fields as is:
10 + 8是什么?