世界就是一个草台班子
Meta 因为存储明文密码罚1亿美刀
9月27日 爱尔兰数据保护监管机构对Meta处以 9100万欧元(约合1亿美元)的罚款,此前这家Facebook和Instagram的所有者在其内部系统中存储了6亿社交媒体用户的密码,而没有采取适当的安全措施。
爱尔兰数据保护委员会于2019年启动了调查,官员表示,Meta未能通知该委员会一项个人数据泄露事件,也未记录与以明文形式存储用户密码相关的违规行为,违反了欧盟的《通用数据保护条例》(General Data Protection Regulation)。
Meta的一名发言人证实,该公司发现一部分Facebook用户的密码暂时以可读格式记录在其内部数据系统中,称该公司立即采取行动解决了这个问题,并且没有证据表明这些密码被滥用或不当访问。
如果密码被泄露,影响是什么
Facebook 自己的账户被攻击,恶意登录,发布不实言论等等。 黑客拿到密码进行撞库,用于登陆其他平台。 基于facebook 账号登陆的第三方也会受到牵连。
如何正确的存储密码
以下是一些推荐的做法:
避免明文存储:绝不应该以明文形式存储密码
使用强哈希算法:采用如SHA-256、bcrypt等哈希算法来存储密码的哈希值,而不是密码本身
盐值(Salting):为每个用户的密码添加一个随机生成的盐值,以确保即使两个用户有相同的密码,他们的哈希值也会不同,从而防止彩虹表攻击
密钥加固(Key Stretching):使用像PBKDF2、bcrypt或scrypt这样的密钥加固技术,通过多次哈希来增加破解的难度
使用现代安全协议:例如,bcrypt和scrypt算法不仅自动为你加盐,还包含了密钥加固的机制,使得破解更加困难
定期更新哈希算法:随着计算能力的提高,定期更新哈希算法和参数,以确保安全性
安全地管理密钥:如果使用加密算法,密钥的管理和存储必须非常安全,以防止密钥泄露
遵守法律法规:遵循相关的数据保护法规,如《中华人民共和国密码法》、《网络数据安全管理条例》等,确保密码和其他敏感数据的存储符合法律要求
员工培训和政策:对员工进行数据保护的培训,并制定严格的密码管理政策。
安全审计:定期进行安全审计,以检查和加强密码存储措施的有效性。
通过这些措施,可以大大提高存储用户密码的安全性,减少数据泄露的风险。如果对应的业务方不执行,那也没有办法。。
