Google хранит пароль клиента G Suite в виде обычного текста с 2005 года | DedicateT.com

Регистрация
18.12.2017
Сообщения
400
Симпатии
170
Баллы
106
#1
google-G-Suite.png

Google показал шокирующее заявление, что они хранили корпоративный пароль для входа клиентов G Suite в виде обычного текста в течение десяти лет.

Согласно Политике конфиденциальности и безопасности Google, все учетные данные клиентов и пользователей должны храниться в зашифрованном формате, чтобы обеспечить максимальную безопасность.

Зашифрованный формат означает хранение паролей с криптографическими хэшами, что является односторонним процессом, и его нельзя отменить.

Каждый раз, когда пользователи регистрируются в приложении, аутентификация Google с сохраненным хэшем пароля, который лежит в немного криптографии.

Поэтому вместо того, чтобы запоминать точные символы пароля, Google скремблирует его с помощью “хэш-функции”, поэтому он становится чем-то вроде “7gjfsgmhk222354kgsg”.

Каждый раз, когда Google аутентификации пароль клиента таким же образом вместе с именем пользователя и оба затем также зашифрованы перед сохранением на диск.

Пароли учетных записей Google G suite Enterprise в незашифрованном формате
Google предоставил администраторам доменов клиентов G Suite инструмент для установки и восстановления паролей, который позволяет администраторам компании загружать или вручную устанавливать пароли пользователей для пользователей своей компании.

Это будущее помогло администраторам G suite подключать новых пользователей в свою организацию и при необходимости восстанавливать их пароль.

Google объясняет, что они сделали ошибку в этой функции на этапе разработки; в результатах admin console сохранил копию unhashed пароля.

По словам Сюзанны Фрей, вице-президента Google, инженера, Cloud Trust, Мы обнаружили, что начиная с января 2019 года мы непреднамеренно сохранили подмножество несвязанных паролей в нашей защищенной зашифрованной инфраструктуре. Эти пароли хранились максимум 14 дней. Эта проблема была исправлена и снова.

Google утверждает, что нет никаких доказательств неправильного доступа или неправильного использования затронутых паролей.

Google также уведомил администраторов G Suite об изменении этих паролей, а также предоставил администраторам G Suite многочисленные опции 2-ступенчатой проверки (2SV), включая ключи безопасности, на которые Google полагается для своих собственных учетных записей сотрудников.
 

Пользователи, которые просматривали тему (Всего: 5)