一家公司被黑客入侵后,典型的反应是加强各个方面的安全性。但亚马逊(Amazon)旗下的游戏视频公司Twitch却决定降低用户密码的最低字符数限制,以应付用户的抱怨。这种做法会使密码更加不安全。
3月23日,Twitch在公司博客上公布了此次黑客攻击,同时向受影响用户发送了电子邮件。关于攻击严重程度的信息少之又少,Twitch只是说所有的用户密码将被重置,因为此前该公司发现有人可能对某些用户的账户信息进行了未经授权的访问。
根据发送给用户的电子邮件所说,密码进行了加密保护,但不清楚安全性到底有多高。邮件显示,当用户在3月3日登录该网站时,他们的密码可能被恶意代码破解,还原成纯文本形式。
各种数据可能已经泄露,包括信用卡信息,尤其是卡的种类、删减的卡号和有效期。用户名和关联邮件地址、密码、用户最后一次登录的IP地址、电话号码、住址和生日也可能遭到窃取。凭借这些信息,黑客就很有可能获知用户的****。
用户开始在Twitch的社交网络上大声抱怨。有的说不记得密码,有的说由于该网站的限制,他们在试图将密码修改成少于20个字符的时候没有成功。得克萨斯州的Twitch用户科宾·埃利斯(Corbin Ellis)在Twitch的Facebook页面上对该公司说:“如果用户想使用不安全的密码,那是他们的问题,不是你们的。”
但Twitch向用户的要求屈服,宣布将密码长度的最低限制减少到8个字符。网络安全专家特洛伊·亨特(Troy Hunt)对福布斯说,将对密码长度的限制设为最少超过8个字符是令人吃惊之举。“但令人沮丧的地方在于,用户明显不愿意设置超过8个字符的密码。由此看来,用户显然不知道是什么构成了保密的 秘密 。”
身份验证专家佩尔·索谢姆(Per Thorsheim)说,遭到黑客攻击后降低对密码长度要求,这实在讲不通。“在很多案例中,我会建议采取相反的做法。在这次案例中,他们大幅降低了密码长度要求。从安全角度来说,这会使用户密码再次更加容易被发送、破解和窃取。”
如果说需要更多证据来证明用户名-密码模式是有缺陷的身份验证方式,那么这次Twitch被黑就是这样的证据。
译 于波 校 俆笑音
本文来源:福布斯中文网
责任编辑:
王晓易_NE0011
