谷歌G Suite部分密码未通过哈希加密就被储存,长达14年!

栏目: 数据库 · 发布时间: 5年前

内容简介:谷歌在近日的博文中披露最近发现的一个错误,它的部分密码未通过标准“哈希算法”就储存,导致部分G Suite用户以纯文本形式存储密码,大大增加用户泄露信息的风险。而该漏洞竟然自2005年以来就存在,但谷歌声称未发现任何人的密码被非法访问过。谷歌已通知G Suite管理员更改受影响的密码,并会重置尚未自行完成的帐户。在2016年,

谷歌在近日的博文中披露最近发现的一个错误,它的部分密码未通过标准“哈希算法”就储存,导致部分G Suite用户以纯文本形式存储密码,大大增加用户泄露信息的风险。而该漏洞竟然自2005年以来就存在,但谷歌声称未发现任何人的密码被非法访问过。谷歌已通知G Suite管理员更改受影响的密码,并会重置尚未自行完成的帐户。

谷歌G Suite部分密码未通过哈希加密就被储存,长达14年!

在2016年, Google 在官方博客宣布,将在原有的企业办公应用 (Google Apps for Work) 的基础之上,组建一个全新的企业办公服务,并命名为 G Suite ,其包含了一系列 Google 原有的企业办公应用,比如 Gmail,Docs,Drive,Calendar,Hangouts 等;这些应用加起来,就可以为企业用户提供一整套完整的办公云服务。

谷歌未通过“哈希算法”就储存密码

GSuite中出现的这个漏洞源于专为企业设计的功能,该漏洞是 由手动设置和恢复密码过时功能的实现这两个错误 引起的, 工具 位于管理员控制台中,允许管理员为其公司的用户上传或手动设置用户密码。

但是由于实现错误,管理控制台无意中在未经过哈希的情况下,以纯文本格式存储密码,这个失误最早可追溯自2005年。 值得庆幸的是,密码最终存储在磁盘上时被加密,避免了以纯文本形式被读取。谷歌于今年发现该漏洞,并修正问题、弃用该工具。

那么,谷歌这个错误是不通过哈希算法就进行存储,数据被泄露的风险是不是会更大?让我们首先来简单了解一下哈希算法。

哈希算法,又叫散列算法,是将任意长度的二进制值映射为较短的固定长度的二进制值,这个小的二进制值称为哈希值。它的原理其实很简单,就是把一段交易信息转换成一个固定长度的字符串。

假设一个网站被攻破,黑客获得了哈希值,但仅仅只有哈希值还不能登录网站,他还必须算出相应的账号密码。计算密码的工作量是非常庞大且繁琐的,严格来讲,密码是有可能被破译的,但破译成本太大,被成功破译的几率很小。

所以谷歌在不通过标准密码“哈希算法”就储存密码的情况下,即使被磁盘加密,被破译的风险也会大大增加。所以使用G Suite的用户,请第一时间更改自己的密码!

在承认错误中不断前进

据悉,该漏洞不会对受影响客户造成巨大安全风险。谷歌表示,除密码之外,其身份验证系统还具有多层防御功能,自动系统的部署,可阻止黑客在获得密码的情况下恶意登录。谷歌声称尽管出现漏洞,但敏感信息仍保留在加密基础设施上,两起事件均未出现任何不当访问或滥用的情况,问题现在已经修复。

Google在其关于整个问题的帖子中表示相应的抱歉: “我们非常重视企业客户的安全,并为推进行业最佳的帐户安全实践而感到自豪。在这里,我们没有达到我们自己的标准,也没有达到我们客户的标准。我们向用户道歉,并会做得更好。”

谷歌虽然时隔14年才对这个漏洞进行承认,并迅速修复,但是大企业对于用户信息安全的态度值得很多发展中的企业学习,知错能改善莫大焉,在网络安全不断发展的道路上,所有企业任重而道远。

谷歌G Suite部分密码未通过哈希加密就被储存,长达14年!

来源:新浪科技、安胜

- End -

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中!

长按识别下方 二维码 即可享受  2.5折  优惠!

谷歌G Suite部分密码未通过哈希加密就被储存,长达14年!

谷歌G Suite部分密码未通过哈希加密就被储存,长达14年!

公众号ID:ikanxue

官方微博:看雪安全

商务合作:wsc@kanxue.com

点击下方“阅读原文”,查看更多资讯


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

Go语言学习笔记

Go语言学习笔记

雨痕 / 电子工业出版社 / 2016-6 / 89

作为时下流行的一种系统编程语言,Go 简单易学,性能很好,且支持各类主流平台。已有大量项目采用 Go 编写,这其中就包括 Docker 等明星作品,其开发和执行效率早已被证明。本书经四年多逐步完善,内容覆盖了语言、运行时、性能优化、工具链等各层面知识。且内容经大量读者反馈和校对,没有明显的缺陷和错误。上卷细致解析了语言规范相关细节,便于读者深入理解语言相关功能的使用方法和注意事项。下卷则对运行时源......一起来看看 《Go语言学习笔记》 这本书的介绍吧!

RGB转16进制工具
RGB转16进制工具

RGB HEX 互转工具

XML、JSON 在线转换
XML、JSON 在线转换

在线XML、JSON转换工具