Robinhood意外地在Plaintext中留下了一些用戶的密碼
Robinhood Markets Inc.是一家私營金融服務公司,以其免佣金股票交易應用程序而聞名。它最近完成了最新一輪融資,現在據信價值超過76億美元。你認為Robinhood會非常清楚在存儲密碼時應該做什麼和不應該做什麼,特別是考慮到它的主要服務圍繞著大量資金的交換。在大多數情況下,這是一個公平的假設,但是當Robinhood的開發人員自費學習時,可以犯錯誤,當發生這種情況時,潛在的損害可能會非常具有破壞性。
Table of Contents
Robinhood如何存儲用戶的密碼
我們已在這些頁面上討論過此事,我們已經提到如果在線服務正確存儲您的密碼,則任何人(包括提供商的員工)都不應該看到您的登錄憑據。根據行業最佳實踐設計應用程序和網站的開發人員在將數據存儲到數據庫之前,通過稱為哈希的加密函數來設置人們的密碼。散列將您的密碼轉換為隨機查找的字符串(稱為散列值),與您的密碼沒有視覺上的相似之處,並且由於該函數(理論上)是不可逆的,黑客無法使用散列值來猜測您的密碼密碼是。
哈希也有陷阱。我們最近談到過像MD5這樣過時的散列算法可能會使您的密碼面臨風險。我們還討論了加密鹽的應用如何成為散列過程的一個組成部分,因為它確保兩個相同的密碼不會產生相同的散列值。
羅賓漢已經做好了功課。標題為“ 您如何受保護 ”的幫助頁面表示用戶密碼是使用bcrypt進行哈希處理的。這是個好消息。 Bcrypt被廣泛認為是目前最強大的哈希算法之一,它集成了鹽算功能。
根據我們所掌握的信息,我們可以說系統設計得很好。然而,最近出現了問題。
由於技術錯誤,Robinhood密碼以明文形式保留
本週早些時候,一些Robinhood用戶開始收到通知,告訴他們他們的密碼沒有得到妥善處理。 ZDNet首先報告了這些電子郵件,他們表示某些人的密碼“可能已經”以可讀的格式存儲在Robinhood的後端服務器上. 一旦他們發現了這個漏洞,該應用程序的開發人員就會著手修復它,當通知發佈時,漏洞已經得到解決。 Robinhood的團隊表示,他們沒有證據表明公司外有人會查看密碼,但儘管如此,他們仍然表示受影響的用戶可能會“非常謹慎地”更改密碼。 ZDNet向Robinhood詢問了受影響帳戶的數量,但該應用程序的發言人決定不透露它。
這不是第一次發生這種情況
必須要說的是,為Robinhood做大得多的在線服務工作的人犯了類似的錯誤。例如,去年, Twitter透露 ,在短時間內,它以簡單的形式存儲了其3.3億用戶的密碼。在它之前幾週 , GitHub承認其部分員工也可以通過明文訪問人們的登錄憑證。換句話說,這些事情時不時發生。 Robinhood不是第一個在內部暴露人們密碼的應用程序,它可能不會是最後一個。
但是,這並沒有使問題變得嚴重。實際上,在所有這些情況下,密碼只能由員工訪問,這確實有點限制了危險。儘管如此,開發人員應盡其所能確保將來避免這些錯誤。