Twitter 日前發現程式錯誤,錯誤地將用戶密碼以明碼方式儲存起來,事件導致 Twitter 要求全球 3.3 億用戶更改密碼。而網絡保安產品公司 McAfee 就在網上貼文,提醒 Twitter 用戶在更改密碼時應該注意的事項。
日前 Twitter 向全球 3.3 億用戶發出電郵,指本來當用戶在 Twitter 網頁或應用程式輸入密碼時,密碼都應該經過強力的密碼雜湊函式,將密碼取代為隨機的數字和字母組合,從而達到即使系統不知道你的密碼實際內容,都可以驗證密碼的正確。而 Twitter 所採用的 bcypt 密碼雜湊函式,是近年業界推薦採用的密碼雜湊函式,能確實搞亂密碼的真正內容。
可是, Twitter 就發現因為程式錯誤,在密碼被雜湊之前,竟然錯手以明碼的方式紀錄在內部紀錄上。雖然在大多數情況之下,內部紀錄是不會放在網絡可以踫到的地方,不過公司內部的技術人員一般都不需要很高權限就可以存取得到,同樣會構成一定程度的風險。
Twitter 指經調查後顯示未有發生任何入侵或濫用問題,而他們亦已修正有關的程式錯誤。不過他們為安全起見,仍然要求全球 3.3 億用戶改更密碼。
而 McAfee 就提醒用戶,在設定新密碼時,不要使用「 12345 」或「 password 」之類太過簡單的語句,而且也呼籲用戶使用密碼管理員程式,這樣就可以確保每個帳戶都使用不同的高強度密碼,而自己就不用記很多密碼。他們並指出,假如 Twitter 密碼不幸被洩露, Twitter 帳號被騎劫不單可以隨意發放虛假帖子,還可以用來張帖惡意或釣魚網站網址,從而令朋友感染病毒。此外,因為有很多人會在不同網站使用相同帳戶名及密碼,所以 Twitter 這些明碼紀錄一旦流出,也可能導致其他網絡服務被惡意利用。