谷歌如何在他們的服務(wù)器上保存我們的密碼？

解答動態(tài)

• 

  因為我們必須假設(shè)每個數(shù)據(jù)庫都可能被破壞，所以純文本密碼不應(yīng)該存儲在任何地方。相反，應(yīng)該對密碼進(jìn)行散列，這是一種單向算法，最好使用計算速度慢的算法，并對每個密碼使用不同的長salt。有很多文章對這些方法進(jìn)行了一般性的解釋，包括CrackStation:Salted Password Hashing-Doing it Right.
  除非Google在某個地方記錄了它（或者h(yuǎn)ashis被破壞），否則我們無法詳細(xì)說明它們的實現(xiàn)。我們只能相信這個巨人會妥善處理我們的密碼。但每個人都會犯錯誤，甚至連谷歌都在他們的一個解決方案中存儲了15年的純文本密碼（2005-2019）。來自Suzanne Frey:通知管理員未修改的密碼存儲：
  的策略是使用加密哈希存儲密碼，這些哈希會這些密碼以確保其安全性。然而，我們最近通知了一部分EnterpriseG套件客戶，一些密碼存儲在我們加密的內(nèi)部系統(tǒng)中沒剪。這個是一個只影響商業(yè)用戶的G套件問題-沒有免費(fèi)消費(fèi)者的谷歌帳戶受到影響-我們正在與企業(yè)管理員合作，以確保他們的用戶重置他們的密碼。
  知道這一點，作為一個用戶你應(yīng)該：使用每個服務(wù)都有不同的密碼。如果一個人被破壞了，它不會影響所有的人其他。使用強(qiáng)密碼，長密碼。如果密碼的散列版本泄漏，它將減慢脫機(jī)的過程，并強(qiáng)制它。 要實現(xiàn)這兩個目標(biāo)，建議使用密碼管理器。
  
• End