说好的安全呢|Facebook 被指要求新用户直接提供邮件密码进行身份认证

 聚焦源代码安全，网罗国内外最新资讯！

编译：代码卫士团队

好像每次当 Facebook 承诺认真对待用户的安全和隐私问题时，总会出幺蛾子。这次，Facebook 被指要求某些新用户提供邮箱密码进行认证操作。

推特用户 e-sushi 指出，Facebook 提示用户提交第三方邮件服务的密码以便“自动”验证用户的邮件地址。然而，这份提示信息似乎仅针对源自 Facebook 认为可疑的某些邮件提供商的邮件账户。

他指出，“我自己通过3个不同的 IP地址、2个不同的浏览器使用3份不同的邮件注册了3次。其中有2次点击‘注册账户’后要求提供邮件密码验证。实际上这种做法是钓鱼了本不应该知道的密码。”

外媒 Daily Beast 验证了这名开发人员的说法。据悉，遇到无法登录情况的用户仍然可以通过手机或邮件接收到的代码进行身份认证，但这些选项隐藏在了“需要帮助？”页签下。

无法想象这种实践是如何获得 Facebook 安全团队接受的。用户在任何时候都不应当提交这类凭证，因为一旦攻击者入侵主邮件账户，其它账户也会遭劫持。

Facebook 的一名发言人在一份声明中指出，“我们理解密码认证选项并非最佳方法，因此我们将停止这一做法。”

Facebook 可能会承诺不再这么做，而且可能会强调这些密码并非被存储，但鉴于该公司的隐私和安全历史记录，这可能并不会成为最后一次。

毕竟，就在上个月，Facebook 还因在未采取任何保护或加密措施的情况下，将数亿用户的密码以明文形式存储广受批评。

原文链接

https://www.zdnet.com/article/facebook-demanded-new-user-email-passwords-in-appalling-security-misstep/

本文由代码卫士编译，不代表其观点，转载请注明“转自代码卫士 www.codesafe.cn”。