Robinhood意外地在Plaintext中留下了一些用户的密码

Robinhood Plaintext Passwords

Robinhood Markets Inc.是一家私营金融服务公司,以其免佣金股票交易应用程序而闻名。它最近完成了最新一轮融资,现在据信价值超过76亿美元。你认为Robinhood会非常清楚在存储密码时应该做什么和不该做什么,特别是考虑到它的主要服务围绕着大量资金的交换。在大多数情况下,这是一个公平的假设,但是当Robinhood的开发人员自费学习时,可以犯错误,当发生这种情况时,潜在的损害可能会非常具有破坏性。

Robinhood如何存储用户的密码

我们已在这些页面上讨论过此事,我们已经提到如果在线服务正确存储您的密码,则任何人(包括提供商的员工)都不应该看到您的登录凭据。根据行业最佳实践设计应用程序和网站的开发人员在将数据存储到数据库之前,通过称为哈希的加密函数来设置人们的密码。散列将您的密码转换为随机查找的字符串(称为散列值),与您的密码没有视觉上的相似之处,并且由于该函数(理论上)是不可逆的,黑客无法使用散列值来猜测您的密码密码是。

哈希也有陷阱。我们最近谈到过像MD5这样过时的散列算法可能会使您的密码面临风险。我们还讨论了加密盐的应用如何成为散列过程的一个组成部分,因为它确保两个相同的密码不会产生相同的散列值。

罗宾汉已经做好了功课。标题为“ 您如何受保护 ”的帮助页面表示用户密码是使用bcrypt进行哈希处理的。这是个好消息。 Bcrypt被广泛认为是目前最强大的哈希算法之一,它集成了盐算功能。

根据我们所掌握的信息,我们可以说系统设计得很好。然而,最近出现了问题。

由于技术错误,Robinhood密码以明文形式保留

本周早些时候,一些Robinhood用户开始收到通知,告诉他们他们的密码没有得到妥善处理。这些电子邮件首先由ZDNet报告,并且他们声称某些人的密码“可能已经”以可读的格式存储在Robinhood的后端服务器上。一旦他们发现了这个漏洞,该应用程序的开发人员就会着手修复它,并且当通知发布时,漏洞已经得到解决. Robinhood的团队表示,他们没有证据表明公司外有人会查看密码,但尽管如此,他们仍然表示受影响的用户可能会“非常谨慎地”更改密码。 ZDNet向Robinhood询问了受影响帐户的数量,但该应用程序的发言人决定不透露它。

这不是第一次发生这种情况

必须要说的是,为Robinhood做大得多的在线服务工作的人犯了类似的错误。例如,去年, Twitter透露 ,在短时间内,它以简单的形式存储了其3.3亿用户的密码。在它之前几周GitHub承认其部分员工也可以通过明文访问人们的登录凭证。换句话说,这些事情时不时发生。 Robinhood不是第一个在内部暴露人们密码的应用程序,它可能不会是最后一个。

但是,这并没有使问题变得严重。实际上,在所有这些情况下,密码只能由员工访问,这确实有点限制了危险。尽管如此,开发人员应尽其所能确保将来避免这些错误。

August 23, 2019
正在加载...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的全部功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。