Twitter呼籲所有用戶立即改密碼

社交網站Twitter的技術總監（CTO）亞格拉華（Parag Agrawal）在官方網誌透露，該公司最近發現一個內部錯誤，以致儲存了未經特別處理的密碼。Twitter建議全部逾3.3億用戶修改密碼，以策安全，並就事件致歉。

一般而言，網站不會直接儲存帳戶的密碼，而是先使用雜湊函數（hash function）把密碼轉換成一串看似隨機的數字，雜湊函數的特點是單看輸出值難以猜出輸入的內容。當用戶登入時，輸入密碼後會經過雜湊函數轉換，系統則對比轉換結果確認密碼是否正確。這樣系統就無需要直接比較用戶密碼，又能確認輸入密碼正確，減少密碼外洩的機會。

今次Twitter發現的錯誤，是在密碼未經雜湊函數轉換前，內部記錄已經把密碼寫下來。亞格拉華表示他們自行發現這個錯誤，而且已刪除所有儲存的密碼，並防止這個錯誤再次發生。

雖然他們調查後並未發現有密碼外洩或遭不當使用的跡隊，然而Twitter仍然建議用戶更改密碼，不僅是Twitter上的密碼，而是所有使用相同密碼的帳戶。事實上，你不應該在其他帳戶重用密碼，所以Twitter建議用戶要改個足夠強而且未曾在其他網站用過的密碼。

此外，用戶亦應使用登入驗證——又稱兩步驟驗證（two factor authentication），和使用密碼管理服務，以便儲存各個帳戶的複雜密碼。

Twitter已開始通知用戶更改密碼，但有用戶尚未收到訊息，亦有用戶報稱修改密碼時出現錯誤，可能是太多人同時更改所致。

相關文章︰

• 保安專家︰經常轉換密碼　可能適得其反
• Google與荷蘭研究所合作，以「碰撞攻擊」讓加密算法SHA-1「壽終正寢」
• 保安專家︰不要再用密碼提示問題——至少胡亂作個答案

資料來源︰

• Keeping your account secure (Twitter)
• Change Your Twitter Password Right Now (Wired)