雅虎向黑客送上厚礼

天哪，雅虎(Yahoo)，我该从哪里说起呢？2004年我们在一起时曾经很快乐。但如今，我感到既生气又失望。而问题不在我，是雅虎。
雅虎上周公布的数据泄露事件影响到10亿多用户，时间要回溯到2013年，比今年9月报告的5亿账户泄密要早一年。不管你是否使用雅虎，马上抛弃“这次泄密与上次一样”的看法吧。其影响更糟，而且影响范围超越该公司。这不仅仅是有多少人受影响的问题。
这一次，雅虎直截了当地表示，所有受影响用户的密码存储方式，都会让对网络安全稍有了解的人对世界的疯狂跳脚。行业小报《The Register》的标题是：“安全专家抨击雅虎管理层使用旧的加密技术！”这里的惊叹号是在嘲弄雅虎这家互联网公司的标识。
要了解人们的失望之情，想象一个密码数据库就像在一个自行车失窃风险很高的地方（例如英国牛津等大学城）停放的一辆自行车。重要的是你的自行车存放方式有多么安全，车锁在多大程度上使自行车无法被盗用。
我们已知道，雅虎的密码自行车已（再次）被窃，现在的重要问题是有没有额外的车锁以及它们有多么坚固。用密码的术语来说，密码强度相当于从该公司存储的无法使用的经过加盐(hashed)处理的版本恢复为你键入的纯文本格式（例如hansolo81）密码的容易程度。经过加盐处理的数据看上去像57dddf57a98dc88c64327fe6bb5b9358。如果窃贼可以恢复hansolo81，那么他们就能顺藤摸瓜，进入你的银行账户、PayPal或者其他任何你使用这个密码或这个密码的可预测变异形式的地方，例如Hansolo81、han$olo81或者hansolo82。
因此你会以为，雅虎会使用结实的链条锁，就像那些骑车的快递员所用的那种。但实际上，该公司好像是用一条丝带把前轮和车架拴在一起。用术语来说，他们所用的方法采用了一种被称为MD5的函数，与成人网站Ashley Madison为其一部分用户的密码以及音乐服务公司Last.fm做出的糟糕选择一样，这两家公司都遭遇信息被窃。
问问那些科技迷他们对MD5的看法吧，你会听到他们说，任何公司（更别提一家大型互联网公司了）如果在2013年仍使用这种方法简直匪夷所思；这么做是绝对的失职；对此没有任何借口；这种方法在20年前就被否定了。
到了发生2014年那次黑客入侵时，雅虎已接近完成早该进行的对其密码加锁方法的升级，即改用“bcrypt”加密工具。如果实施得当，这将让窃贼无法盗用雅虎的密码自行车。从57dddf57a98dc88c64327fe6bb5b9358恢复到hansolo81将是极不可能的。因此，尽管那次泄密危及用户，但与最近报道的事件相比，那还是一个不那么严重的失误。
值得明确雅虎在仅仅3年前非常糟糕的安全做法的后果：该公司很可能泄露了已知单一最大数据集，显示世界是如何构建密码的。这是依靠猜测侵入账户的强大工具，特别是对于没有很好地限制这种企图或者没有提供额外安全措施（例如二元验证）的服务。这是送给那些恶意黑客的一份厚礼，后者对我们的了解日益超过我们自己。
另外，雅虎只能强迫用户在其网站上重置密码。它无法让用户修改在其他网站使用的同样或类似的密码。
此外，与上次泄密一样，雅虎没有披露有多少安全问题和答案是以糟糕的方式存储的。他们只是声明，这些数据的存储方式“可能加密，也可能未加密”，后一种意味着可读文本。有多少人还能记得他们是否曾经拥有过雅虎账户？更别提他们用过的安全信息、以及他们是否在其他账户上使用过同样的信息了。你还在哪里使用过你母亲的娘家姓氏、第一只宠物的名字、最喜欢的颜色、学校或老师的名字？
公司糟糕安全决定的后果将回过头来困扰我们。我只希望雅虎标志着最糟糕的的安全实践，如果不是最后一个的话。