G Suite密码以纯文本格式存储14年
谷歌透露,一些G Suite密码已经存储在纯文本中,意思是没有加密,已有14年。这家科技巨头表示,它最近发现了一个自2005年以来一直存在的漏洞,并且已经开始重置可能受到影响的任何密码,并向G Suite管理员发出有关该问题的警报。
“我们最近通知了我们企业G Suite客户的一部分,其中一些密码存储在我们加密的内部系统中,”Google的工程和云信任部副总裁Suzanne Frey表示。
“这是一个仅影响商业用户的G Suite问题 - 没有免费的消费者Google帐户受到影响 - 我们正在与企业管理员合作,以确保他们的用户重置密码。”
Frey补充说,谷歌一直在进行彻底的调查,到目前为止,还没有看到任何不当访问或滥用这些受影响的G Suite凭据的证据。
这篇博文详细介绍了谷歌关于使用掩盖它们的加密哈希存储密码的政策。密码学是一种单向系统,就像在Google末端看到的那样,它使用哈希函数来加密用户密码 - 所以它变成类似“72i32hedgqw23328”的东西。然后将其与相关用户名一起存储,加密并保存到磁盘。用户下次登录时,密码会以相同的方式加密,以查看其是否与Google存储的内容相匹配。
但对于一个特定功能,2005年的情况并非如此。在G Suite的企业版中,Google允许域管理员使用工具来设置和恢复密码;据说是因为这是高度要求的。此工具位于管理控制台中,允许管理员上载或手动设置用户密码。
这个想法是帮助管理员加载新用户,但该功能会无意中在管理控制台中存储未散列密码的副本。谷歌强调,这些密码仍保留在其安全的加密基础设施中,并且问题已得到解决,但2005年是很久以前的问题。
虽然这已经足够糟糕,但该公司发现了进一步的密码加密漏洞,因为它正在对新的G Suite客户注册流程进行故障排除。它发现,从2019年1月起,它无意中在其安全加密基础设施中存储了一部分未加密码的密码。这些密码最多只存储了14天,谷歌再次说这个问题已得到解决。
这是近期科技公司报告的一系列事件之一,其中密码加密受到错误或故障的阻碍。去年,Twitter警告用户更新密码,因为该公司发现其系统存在缺陷,可能允许公司员工以明文形式查看密码。Twitter向用户发送了一封电子邮件,说明该错误已得到修复,由此产生的内部调查“没有显示任何人滥用行为的迹象”。
在Google的辩护中,尽管G Suite中存在多长时间,但其通知并未尝试掩盖任何内容。与Facebook不同,今年早些时候,Facebook通知用户“一些”密码以明文形式存储,只是在其博客文章中进一步解释,实际上Facebook,Instagram和Facebook Lite的数亿个密码都是在没有加密的情况下存储的。