Robinhood意外地在Plaintext中留下了一些用戶的密碼

Robinhood Plaintext Passwords

Robinhood Markets Inc.是一家私營金融服務公司,以其免佣金股票交易應用程序而聞名。它最近完成了最新一輪融資,現在據信價值超過76億美元。你認為Robinhood會非常清楚在存儲密碼時應該做什麼和不應該做什麼,特別是考慮到它的主要服務圍繞著大量資金的交換。在大多數情況下,這是一個公平的假設,但是當Robinhood的開發人員自費學習時,可以犯錯誤,當發生這種情況時,潛在的損害可能會非常具有破壞性。

Robinhood如何存儲用戶的密碼

我們已在這些頁面上討論過此事,我們已經提到如果在線服務正確存儲您的密碼,則任何人(包括提供商的員工)都不應該看到您的登錄憑據。根據行業最佳實踐設計應用程序和網站的開發人員在將數據存儲到數據庫之前,通過稱為哈希的加密函數來設置人們的密碼。散列將您的密碼轉換為隨機查找的字符串(稱為散列值),與您的密碼沒有視覺上的相似之處,並且由於該函數(理論上)是不可逆的,黑客無法使用散列值來猜測您的密碼密碼是。

哈希也有陷阱。我們最近談到過像MD5這樣過時的散列算法可能會使您的密碼面臨風險。我們還討論了加密鹽的應用如何成為散列過程的一個組成部分,因為它確保兩個相同的密碼不會產生相同的散列值。

羅賓漢已經做好了功課。標題為“ 您如何受保護 ”的幫助頁面表示用戶密碼是使用bcrypt進行哈希處理的。這是個好消息。 Bcrypt被廣泛認為是目前最強大的哈希算法之一,它集成了鹽算功能。

根據我們所掌握的信息,我們可以說系統設計得很好。然而,最近出現了問題。

由於技術錯誤,Robinhood密碼以明文形式保留

本週早些時候,一些Robinhood用戶開始收到通知,告訴他們他們的密碼沒有得到妥善處理。 ZDNet首先報告這些電子郵件,他們表示某些人的密碼“可能已經”以可讀的格式存儲在Robinhood的後端服務器上. 一旦他們發現了這個漏洞,該應用程序的開發人員就會著手修復它,當通知發佈時,漏洞已經得到解決。 Robinhood的團隊表示,他們沒有證據表明公司外有人會查看密碼,但儘管如此,他們仍然表示受影響的用戶可能會“非常謹慎地”更改密碼。 ZDNet向Robinhood詢問了受影響帳戶的數量,但該應用程序的發言人決定不透露它。

這不是第一次發生這種情況

必須要說的是,為Robinhood做大得多的在線服務工作的人犯了類似的錯誤。例如,去年, Twitter透露 ,在短時間內,它以簡單的形式存儲了其3.3億用戶的密碼。在它之前幾週GitHub承認其部分員工也可以通過明文訪問人們的登錄憑證。換句話說,這些事情時不時發生。 Robinhood不是第一個在內部暴露人們密碼的應用程序,它可能不會是最後一個。

但是,這並沒有使問題變得嚴重。實際上,在所有這些情況下,密碼只能由員工訪問,這確實有點限制了危險。儘管如此,開發人員應盡其所能確保將來避免這些錯誤。

August 23, 2019
正在加載...

Cyclonis Backup Details & Terms

免费的基本 Cyclonis 备份计划为您提供 2 GB 的云存储空间和完整的功能!无需信用卡。需要更多存储空间?立即购买更大的 Cyclonis 备份计划!要详细了解我们的政策和定价,请参阅服务条款隐私政策折扣条款购买页面。如果您想卸载该应用程序,请访问卸载说明页面。

Cyclonis Password Manager Details & Terms

免费试用:30 天一次性优惠!免费试用不需要信用卡。免费试用期间的完整功能。 (免费试用后的完整功能需要订阅购买。)要了解有关我们的政策和定价的更多信息,请参阅EULA隐私政策折扣条款购买页面。如果您想卸载应用程序,请访问卸载说明页面。