先前 Facebook 爆出用明碼不當儲存用戶密碼,引起相當大的爭議。而搜尋和雲端業者 Google 則在美國時間週二坦言他們也犯下類似錯誤,最早可追溯到 2005 年。
Google 說明受影響的是 G-Suite 企業帳號,拒絕回應到底有多少用戶受影響,並且強調這些明碼儲存的密碼,儲存在「加密內部系統」裡。Google 已經修正企業用戶的密碼設定和重設機制,不會再用明碼儲存用戶帳密。
一般來說密碼都用 Hash 處理過,這次 Google 4 月時發現不當處理企業用戶密碼,起因是方便企業帳號管理員,能夠手動為新員工設定密碼,以及重設密碼。Google 在 2005 年設定企業帳戶管理介面時,新員工密碼設定用明碼儲存。Google 內部調查並沒有發現員工有不當存取用明碼儲存的密碼。Google 強調已經通知受影響的企業帳號管理者,並且強制受影響帳號重設密碼。
一般消費者 Google 帳號,則不受到 Google 資安疏失影響。Google 也建議不只是一般消費者,企業帳號使用者應該啟用兩階段驗證機制。
(首圖來源:Google)
