Twitter建议其所有3.3亿用户更改密码

近日Twitter建议其所有3.3亿用户更改密码，原因是软件错误导致密码在未加密的时间内以未加密的方式存储。

那么我应该更改我的Twitter密码吗？

可能吧！但是，如果你想知道Twitter的问题是否是一个大问题，它并不像，比如说，Equifax数据泄露事件那样令人震惊大量人们的个人财务信息。首先，Twitter说没有人不恰当地访问用户密码。

甚至Twitter也是框架化将密码更改为可以决定做的事情，而不是必须立即做的事情。在一条推文中，该公司称更改密码是一种"预防"，而不是一种命令。公司高管也称这是一项"决定"，而不是义务。

Twitter的首席技术官ParagAgrawal说："我们正在分享这些信息，以帮助人们对他们的账户安全做出明智的决定。""我们没必要这么做，但相信这样做是对的。"

(Agrawal)往回走他的评论是，在他发布几分钟后，他没有义务分享有关存储错误的信息。)

外部安全专家同意。

"这种情况介于中低级别的安全问题之间。它提出的问题比实际回答的要多，但密码泄漏只发生在内部，而不是在整个互联网上，这是一种更理想的情况，"Tendermint的安全主管杰西·欧文说。

Twitter还允许您跳过更改密码时，它通知您在您的浏览器或Twitter应用程序。

那么密码到底怎么了？

这整件事是关于科技公司如何存储密码的，这涉及到很多很难计算的问题，但并不是一个复杂的概念。

假设我的Twitter密码是Password 123(1，它不是；2，这不应该是您的密码！)尽管我输入的是Password 123，但Twitter的系统和员工看到了我写的一串乱七八糟的数字和字母，比如64eyb95exmp。该更改是一个名为哈希的过程，而混乱的版本称为散列密码。当我输入密码时，它会通过一堆代码传到Twitter上，并显示为加扰的版本，而不是我实际写的内容，这样我就可以登录，而不会让互联网另一端的人窃取我的密码。

那到底出了什么问题？

根据Twitter的说法，公司以一种"公开"的方式将人们的密码存储在内部日志中，这意味着他们的存储方式就像我登录时看到的那样。因此，与64eyb95exmp不同，在Twitter上查看某个特定数据库的人会将我的密码视为Password 123(同样，不要将此作为您的新密码)。

这意味着，如果有人闯入Twitter的数据库，他们就可以很容易地通过复制和粘贴你的密码来窃取你的账户。推特说公司内外没有人这样做，这很好！

我们不知道Twitter上有多少人一开始就能看到未加密的密码，也不知道哈希过程中出了什么问题。Twitter的内部安全政策将规定哪些员工(可能是工程师)可以访问日志。但是，Twitter再次表示，没有人看到他们不应该看到的人。

Twitter发言人LizKelley说："这些信息在一个模糊的领域的内部日志中，所以不太可能有人会看到。"

凯利说，目前正在对该漏洞进行内部调查，但没有透露密码被泄露了多久。

Twitter建议人们采取四项措施保护自己的账户：

1.在Twitter和其他可能使用相同密码的服务上更改密码。

2.使用其他网站上不重复使用的强密码。

3.使能登录验证，也称为双因素认证。这是您可以采取的提高您的帐户安全性的唯一最佳操作。

4.使用密码管理器确保您在任何地方都使用强的、唯一的密码。