谷歌G Suite部分密码未通过哈希加密就被储存，长达14年！

谷歌在近日的博文中披露最近发现的一个错误，它的部分密码未通过标准“哈希算法”就储存，导致部分G Suite用户以纯文本形式存储密码，大大增加用户泄露信息的风险。而该漏洞竟然自2005年以来就存在，但谷歌声称未发现任何人的密码被非法访问过。谷歌已通知G Suite管理员更改受影响的密码，并会重置尚未自行完成的帐户。

在2016年， Google 在官方博客宣布，将在原有的企业办公应用 （Google Apps for Work） 的基础之上，组建一个全新的企业办公服务，并命名为 G Suite ，其包含了一系列 Google 原有的企业办公应用，比如 Gmail，Docs，Drive，Calendar，Hangouts 等；这些应用加起来，就可以为企业用户提供一整套完整的办公云服务。

谷歌未通过“哈希算法”就储存密码

GSuite中出现的这个漏洞源于专为企业设计的功能，该漏洞是 由手动设置和恢复密码过时功能的实现这两个错误 引起的， 该 工具 位于管理员控制台中，允许管理员为其公司的用户上传或手动设置用户密码。

但是由于实现错误，管理控制台无意中在未经过哈希的情况下，以纯文本格式存储密码，这个失误最早可追溯自2005年。 值得庆幸的是，密码最终存储在磁盘上时被加密，避免了以纯文本形式被读取。谷歌于今年发现该漏洞，并修正问题、弃用该工具。

那么，谷歌这个错误是不通过哈希算法就进行存储，数据被泄露的风险是不是会更大？让我们首先来简单了解一下哈希算法。

哈希算法，又叫散列算法，是将任意长度的二进制值映射为较短的固定长度的二进制值，这个小的二进制值称为哈希值。它的原理其实很简单，就是把一段交易信息转换成一个固定长度的字符串。

假设一个网站被攻破，黑客获得了哈希值，但仅仅只有哈希值还不能登录网站，他还必须算出相应的账号密码。计算密码的工作量是非常庞大且繁琐的，严格来讲，密码是有可能被破译的，但破译成本太大，被成功破译的几率很小。

所以谷歌在不通过标准密码“哈希算法”就储存密码的情况下，即使被磁盘加密，被破译的风险也会大大增加。所以使用G Suite的用户，请第一时间更改自己的密码！

在承认错误中不断前进

据悉，该漏洞不会对受影响客户造成巨大安全风险。谷歌表示，除密码之外，其身份验证系统还具有多层防御功能，自动系统的部署，可阻止黑客在获得密码的情况下恶意登录。谷歌声称尽管出现漏洞，但敏感信息仍保留在加密基础设施上，两起事件均未出现任何不当访问或滥用的情况，问题现在已经修复。

Google在其关于整个问题的帖子中表示相应的抱歉： “我们非常重视企业客户的安全，并为推进行业最佳的帐户安全实践而感到自豪。在这里，我们没有达到我们自己的标准，也没有达到我们客户的标准。我们向用户道歉，并会做得更好。”

谷歌虽然时隔14年才对这个漏洞进行承认，并迅速修复，但是大企业对于用户信息安全的态度值得很多发展中的企业学习，知错能改善莫大焉，在网络安全不断发展的道路上，所有企业任重而道远。

来源：新浪科技、安胜

- End -

:warning: 注意

2019 看雪安全开发者峰会门票正在热售中！

长按识别下方 二维码 ， 即可享受  2.5折  优惠！

公众号ID：ikanxue

官方微博：看雪安全

商务合作：wsc@kanxue.com

↙ 点击下方“阅读原文”，查看更多资讯