著名社交网站Twitter昨天晚上开始发布一项声明,建议用户更新密码,因为Twitter后端支持系统中存在一些意外错误。但随后Twitter再次发布了安全警告,要求用户尽快更新其密码,并且用Twitter替换所有与密码相同的帐户和密码。

看起来安全事件的严重性还是比较高的,否则Twitter不会建议用户更改密码并更改所有帐户。此安全事件的原因是Twitter正在使用名为BCRYPT的散列算法替换用户密码中的字母和数字。

新算法加密后,字符串强度更高,不易破解。同时,用户可以通过哈希散列直接登录Twitter的服务。但是,由于发生错误,服务器记录的明文密码在写入内部日志之前未加密。显然,明文密码具有非常高的安全威胁。

Twitter主要担心由服务器编写的明文密码日志可能会被公司内部开发人员看到,因此强烈要求用户更改密码。
现在知道Twitter工程师可以访问明文密码,但是工程师是否已经检查过明文密码或泄露日志是未知的。
因此,该公司仍在进行安全审计以评估潜在的威胁,而临时推文并非强制性的,并且必须主动更换新密码。
使用Twitter出于安全目的的用户应该继续关注此安全事件。如有必要,他们需要更换所有相同的帐户密码。