先前 Facebook 爆出用明码不当储存用户密码,引起相当大的争议。而搜寻和云端业者 Google 则在美国时间周二坦言他们也犯下类似错误,最早可追溯到 2005 年。
Google 说明受影响的是 G-Suite 企业账号,拒绝回应到底有多少用户受影响,并且强调这些明码储存的密码,储存在“加密内部系统”里。Google 已经修正企业用户的密码设定和重设机制,不会再用明码储存用户帐密。
一般来说密码都用 Hash 处理过,这次 Google 4 月时发现不当处理企业用户密码,起因是方便企业账号管理员,能够手动为新员工设定密码,以及重设密码。Google 在 2005 年设定企业账户管理界面时,新员工密码设定用明码储存。Google 内部调查并没有发现员工有不当存取用明码储存的密码。Google 强调已经通知受影响的企业账号管理者,并且强制受影响账号重设密码。
一般消费者 Google 账号,则不受到 Google 资安疏失影响。Google 也建议不只是一般消费者,企业账号使用者应该启用两阶段验证机制。
- Google says some G Suite user passwords were stored in plaintext since 2005
- Google Has Stored Some Passwords in Plaintext Since 2005
(首图来源:Google)
