Facebook以文本形式儲存密碼，可能波及上億用戶

選自Verge，ZDNet

編譯|三七

責編|土申

Facebook總是在新聞媒體裡最活躍的那個。近日社交媒體巨頭透露，Facebook在其內部系統中以純文本形式儲存其上億用戶的登錄密碼。

圖片來源|互聯網

Facebook工程部、安全和隱私副總裁Pedro Canahuati在其部落格文章中說：“在1月份的理性安全檢查中，我們發現我們部分用戶的登錄密碼以‘可讀格式’儲存在我們的內部數據存儲系統中。這引起我們內部的注意，因為系統的宗旨就是用戶在登錄Facebook時，用技術手段使其密碼不可讀取。”

Canahuati表示，為了以防萬一，Facebook將通知以“可讀方式”保存密碼的所有用戶。本次安全隱患涉及到數億Facebook Lite（Facebook精簡版）用戶，數千萬的Facebook用戶以及數萬的Ins用戶。Facebook表示，除了本公司以外的任何人都不會看到密碼，且“迄今為止沒有發現，有任何證據”表明任何內部人員不正當訪問密碼文件。

圖片來源|互聯網

Facebook同時聲明，一般來說他們的系統在用戶創建账戶時就屏蔽密碼，從而讓任何人都無法看到。在安全方面，使用“Salt+Hash”的方式為密碼加密，用“scrypt”算法，生成隨機長字元串，使其不可逆轉。最終系統驗證散列值，確定密碼是否正確，而無需以“純文本形式”存儲密碼。

圖片來源|CSDN

以可讀格式存儲上億個密碼，如此低級的錯誤在長期浸淫社交媒體的Facebook身上出現，可以說非常尷尬。Facebook似乎水逆持續了一整年，從去年的數據洩露，到涉嫌涉及操縱選舉。尤其在本月初，CEO馬克祖克柏還承諾，重建其加密和隱私方面的服務內容，算是在與隱私醜聞劃清界限上做出努力。

圖片來源|Facebook

馬克祖克柏當時在帖子中說：我知道很多人認為Facebook不願意以隱私為重點重建平台，坦率的說，在構建隱私保護方面，我們目前在外界的聲譽並不好，且我們一直在關注更為開放的互聯網分享工具。

烏鎮智庫 資訊推薦