谷歌透露，一些G Suite密碼已經(jīng)存儲(chǔ)在純文本中，意思是沒有加密，已有14年。這家科技巨頭表示，它最近發(fā)現(xiàn)了一個(gè)自2005年以來一直存在的漏洞，并且已經(jīng)開始重置可能受到影響的任何密碼，并向G Suite管理員發(fā)出有關(guān)該問題的警報(bào)。

“我們最近通知了我們企業(yè)G Suite客戶的一部分，其中一些密碼存儲(chǔ)在我們加密的內(nèi)部系統(tǒng)中，”Google的工程和云信任部副總裁Suzanne Frey表示。

“這是一個(gè)僅影響商業(yè)用戶的G Suite問題 - 沒有免費(fèi)的消費(fèi)者Google帳戶受到影響 - 我們正在與企業(yè)管理員合作，以確保他們的用戶重置密碼。”

Frey補(bǔ)充說，谷歌一直在進(jìn)行徹底的調(diào)查，到目前為止，還沒有看到任何不當(dāng)訪問或?yàn)E用這些受影響的G Suite憑據(jù)的證據(jù)。

這篇博文詳細(xì)介紹了谷歌關(guān)于使用掩蓋它們的加密哈希存儲(chǔ)密碼的政策。密碼學(xué)是一種單向系統(tǒng)，就像在Google末端看到的那樣，它使用哈希函數(shù)來加密用戶密碼 - 所以它變成類似“72i32hedgqw23328”的東西。然后將其與相關(guān)用戶名一起存儲(chǔ)，加密并保存到磁盤。用戶下次登錄時(shí)，密碼會(huì)以相同的方式加密，以查看其是否與Google存儲(chǔ)的內(nèi)容相匹配。

但對(duì)于一個(gè)特定功能，2005年的情況并非如此。在G Suite的企業(yè)版中，Google允許域管理員使用工具來設(shè)置和恢復(fù)密碼;據(jù)說是因?yàn)檫@是高度要求的。此工具位于管理控制臺(tái)中，允許管理員上載或手動(dòng)設(shè)置用戶密碼。

這個(gè)想法是幫助管理員加載新用戶，但該功能會(huì)無意中在管理控制臺(tái)中存儲(chǔ)未散列密碼的副本。谷歌強(qiáng)調(diào)，這些密碼仍保留在其安全的加密基礎(chǔ)設(shè)施中，并且問題已得到解決，但2005年是很久以前的問題。

雖然這已經(jīng)足夠糟糕，但該公司發(fā)現(xiàn)了進(jìn)一步的密碼加密漏洞，因?yàn)樗趯?duì)新的G Suite客戶注冊(cè)流程進(jìn)行故障排除。它發(fā)現(xiàn)，從2019年1月起，它無意中在其安全加密基礎(chǔ)設(shè)施中存儲(chǔ)了一部分未加密碼的密碼。這些密碼最多只存儲(chǔ)了14天，谷歌再次說這個(gè)問題已得到解決。

這是近期科技公司報(bào)告的一系列事件之一，其中密碼加密受到錯(cuò)誤或故障的阻礙。去年，Twitter警告用戶更新密碼，因?yàn)樵摴景l(fā)現(xiàn)其系統(tǒng)存在缺陷，可能允許公司員工以明文形式查看密碼。Twitter向用戶發(fā)送了一封電子郵件，說明該錯(cuò)誤已得到修復(fù)，由此產(chǎn)生的內(nèi)部調(diào)查“沒有顯示任何人濫用行為的跡象”。

在Google的辯護(hù)中，盡管G Suite中存在多長(zhǎng)時(shí)間，但其通知并未嘗試掩蓋任何內(nèi)容。與Facebook不同，今年早些時(shí)候，F(xiàn)acebook通知用戶“一些”密碼以明文形式存儲(chǔ)，只是在其博客文章中進(jìn)一步解釋，實(shí)際上Facebook，Instagram和Facebook Lite的數(shù)億個(gè)密碼都是在沒有加密的情況下存儲(chǔ)的。