导读 在发现Twitter用户无意中将登录凭据存储为纯文本后,Twitter警告其服务的每个用户都应更改其密码。该公司宣布仅在上个月就拥有3 36亿月度活
在发现Twitter用户无意中将登录凭据存储为纯文本后,Twitter警告其服务的每个用户都应更改其密码。该公司宣布仅在上个月就拥有3.36亿月度活跃用户,事实证明,该用户的密码完全未掩盖地存储在内部日志中。
该消息今天被揭露,Twitter坚持认为它没有任何违反密码日志的记录,也没有任何人滥用它的记录。但是,建议仍然建议用户更改密码,以防万一,实际上,在其他使用相同密码的地方也应如此。
据推特称,该错误是在内部识别的。与大多数需要登录凭据的服务一样,Twitter使用哈希来掩盖用户设置的密码。使用bcrypt,它将实际密码转换为随机的字符集。这是Twitter存储的内容,用于验证您的帐户的身份。
问题是,bcrypt哈希过程中的一个步骤没有发挥作用。Twitter的首席技术官Parag Agrawal 今天写道: “由于存在错误,在完成哈希处理之前,密码已写入内部日志中。” “我们自己发现了此错误,删除了密码,并正在制定计划以防止再次发生此错误。”
这是一个令人尴尬的错误,但阿格劳瓦尔坚持认为,Twitter的调查表明,从未有密码离开公司的服务器。实际上,根据首席技术官所说,我们应该感激该公司实际上打算告诉我们它已经搞砸了。
“我们正在共享这些信息,以帮助人们就其帐户安全性做出明智的决定,” Agrawal发推文说。“我们不必这样做,但相信这是正确的做法。”
与往常一样,建议使用强密码,并在您的Twitter帐户中启用登录验证。它使用2要素身份验证在普通的用户名和密码之上添加了额外的安全性。当然,如果您对其他站点或服务使用了相同的凭据,则也应该在此处更改它们。