twitter 到底干了嘛？怎么会出现用户明文密码

iConnect · 2018-05-06T00:44:00Z

用户密码不是应该只保存 hash 过的吗？

Twitter

密码

Hash

明文

30 replies • 2018-05-07 03:01:43 +08:00

1

AlphaTr

May 6, 2018

哈希之前的日志记录了密码，没脱敏

2

opengps

May 6, 2018

估计某个程序员测试时候记录了明文日志，然后忘了去掉日志就提交生产环境了

3

LazyZhu

May 6, 2018

9

Github 也出了这个问题, 内部调试日志出现了明文密码.
不过得给 Github/Twitter 这种高度的用户透明度点个赞, 国内哪家大厂商有这个觉悟?

4

wvc

May 6, 2018

@LazyZhu 国内啥都是毒瘤啊

5

julyclyde

May 6, 2018

2

@wvc 国内啊，携程把信用卡卡号和 CVV2 写到日志里去了

6

xmdhs

May 6, 2018 via iPad

国内的估计没几个 hash 过

所以国内的网站万一裤子被脱了就。。。

7

iX

May 6, 2018 via iPhone

@julyclyde 不是记录到数据库里了么？

8

lany

May 6, 2018 via Android

调试代码忘记注释了

9

0915240

May 6, 2018 via iPhone

日志记录了密码

emmmmm

10

Va1n3R

May 6, 2018

貌似这个日志也是用户接触不到的。。。只有工作人员可以看到，其实也就是日志把明文密码在 hash 前先记录下来了。

11

Raymon111111

May 6, 2018

是生产环境打了 log, 推特官方表示没有任何迹象表明这个有泄露, 但是改密码还是更保险一点.

HN 上这个讨论还挺热烈的, 都在说能用手段避免这种情况发生.

12

swulling

May 6, 2018 via iPhone

客户端预 hash 可以解决，两次 hash

客户端一次，服务端一次。

13

PressOne

May 6, 2018

@Raymon111111 黑客没那么傻，以往公开的库都是几年前拖的，利用的没有价值了再公布的

14

cairnechen

May 6, 2018

@xmdhs 国内没几个 hash 过？？？你可能有啥误解吧，以为国内人人都是 CSDN 呢

15

geeklian

May 6, 2018 via Android

其实银行的取款密码都没有 hash。

不过 6 位纯数字，hash 不 hash 没区别。

16

rogwan

May 6, 2018 via Android

@geeklian 银行是卡、密分离，这个还是有区别的。知道密码，没有实物卡偷不了钱。互联网账号则另说

17

skyyp

May 6, 2018

想起了几年前的 CSDN 脱裤子事件

18

xy90321

May 6, 2018 via iPhone

1

@swulling
不防本质
为了调试新加的本地 hash 代码所以又把明文密码打在了本地的 log 上 → 比打在服务器上性质还要恶劣 → 卒

19

treo

May 6, 2018

@swulling https://www.nccgroup.trust/us/about-us/newsroom-and-events/blog/2011/august/javascript-cryptography-considered-harmful/

20

lxc404

May 6, 2018

twitter 发的邮件里面有解释

关于此问题

我们通过所谓的哈希转换流程，使用一个名为 bcrypt 的函数对密码进行掩码处理，即用随机的一系列数字和字母替代实际密码，存储在 Twitter 系统内。这让我们的系统可以在不显示你的密码的前提下核实帐号身份。这是行业标准做法。

有一个问题导致密码在完成哈希转换前被写入一个内部日志。我们自己发现了这个错误，移除了密码信息，并且正在部署计划以防这个问题再度发生。

21

xiaolanglang

May 6, 2018

3

@swulling 二次 hash 会降低值域，安全性会下降

22

xiaolanglang

May 6, 2018

Bcrypt 是目前非常适合用来 hash 密码的算法……还是建议用这个……而不是自己造轮子…………

23

swulling

May 6, 2018 via iPad

@gy911201 Twitter 就是用的 bcrypt，但是和这次是两回事。另外值域缩小对密码来说不是什么问题。

@treo 所以两次啊，javascipt 一次，服务端一次。

24

swulling

May 6, 2018 via iPad

@xy90321 你还真别说，打到 console log 里没啥风险。。

25

julyclyde

May 6, 2018

@swulling 多次 hash 会缩小定义域，降低安全性

26

Telegram

May 6, 2018 via iPhone

前面几位感觉有点跪舔了，密码明文就是明文，一视同仁的喷就对了，别说什么比国内透明。
就算是日志里出明文，也不能让我理解。
为啥不能前端先 hash 一次，然后提交到服务器，后端你再要怎么加密都没问题。

27

20015jjw

May 6, 2018

@Telegram 国内这方面几乎为 0 的透明度还是得喷啊

28

agagega

May 6, 2018 via iPhone

还是 Dropbox 的会玩。第一步 SHA 把长度统一，第二步 Bcrypt，第三步用一个全局密钥 AES 加密以防泄漏。

29

param

May 7, 2018 via Android

所以前端應該在提交之前先哈希一遍

30

param

May 7, 2018 via Android

@geeklian 即使是 6 位數字，也可以加鹽解決問題