Twitter：我们刚发现我们把所有推特用户密码明文存了……你们改密码吧

今天是 World Password Day，Twitter 给我们开个玩笑提醒我们更新密码吧？
[参考这里]( https://www.mirror.co.uk/tech/happy-world-password-day-worrying-12472421)

“我们近日发现了一个 bug，该 bug 导致密码无遮掩地被存储在一个内部日志上。我们已经修复了这个 bug，没有迹象表明密码被任何人盗取或滥用。作为预防措施，用户应考虑在所有使用过同一密码的服务上更改密码。”

大胆推测，修复过程是注释掉输出密码日志的代码。

喷子呢

@mozutaba 这说的是 github 的吧。

为什么不在前端 hash 了再传？

没收到通知……

我们通过所谓的哈希转换流程，使用一个名为 bcrypt 的函数对密码进行掩码处理，即用随机的一系列数字和字母替代实际密码，存储在 Twitter 系统内。 这让我们的系统可以在不显示你的密码的前提下核实帐号身份。 这是行业标准做法。

有一个问题导致密码在完成哈希转换前被写入一个内部日志。 我们自己发现了这个错误，移除了密码信息，并且正在部署计划以防这个问题再度发生

@mozutaba #2 请问这是哪个网站 谢谢

登陆了一下，果然提示了……

@sobigfish twitter 的新闻稿

@sobigfish
@maichael
http://www.williamlong.info/archives/5327.html

输出到内部日志 难道还会被人黑入么.

@wintercoder 防内鬼

@jadec0der 这个讲过很多次了
前端 hash 没有意义
密码 hash 成了实质上的密码
只需要重放你的 hash 即可
而要抗重放的话就要加入一次性的分量，这又会让服务端无法验证，除非保存明文

@wintercoder 如果糟糕的事情可能发生，那它一定会发生

@ryd994 加了盐的 hash 至少可以防止在其他网站使用同一密码的用户受到更大的损失吧

@ryd994 hash 的作用应该是防止你丢了这个网站的密码，结果用了同样密码的别的网站不被盗吧

@ryd994 但是这样不会影响一码通

@ryd994 而且有些人喜欢拿 QQ 号或者手机号加上两个字母做密码，不 hash 一下会泄露更多信息

@leafleave 加盐 hash 是在服务端做的
前端 hash 凑什么热闹

@ctsed
@yangyaofei
前端 hash 一次后端再 hash 一次的结果就是值域变小
本来需要穷举所有可能明文的，现在全变成定长字母数字串了