家住上海的李女士上周六京東商城賬號被盜,經查詢,對方正在瘋狂地用她的積分購物��。“我3月份剛剛注冊一個新賬號����,才買了幾次家電,竟然就被人盜了�����,實在太可怕了��!”李女士并不知道����,她的口令早已處于危險之中�。5月29日,工業(yè)和信息化部計算機與微電子發(fā)展研究中心(中國軟件測評中心)等部門發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評報告》(以下簡稱《報告》)指出����,在100個樣本網(wǎng)站中,淘寶�、京東、攜程、世紀佳緣等85個網(wǎng)站可在服務器端獲取用戶口令原文�,僅8家網(wǎng)站采取了最安全的用戶口令傳輸模式。
電商招聘類網(wǎng)站全軍覆沒
2011年底����,CSDN、天涯社區(qū)�����、貓撲等網(wǎng)站因為明文密碼存儲而被“刷庫”�����, 超過5000萬個用戶賬號和密碼在網(wǎng)上公開擴散��。各大網(wǎng)站都加強了數(shù)據(jù)存儲的安全措施�。然而,在用戶口令傳輸過程中�����,仍然存在很多隱患�。一般而言,用戶在登錄網(wǎng)站���,輸入用戶名和密碼之后�,從用戶電腦傳輸?shù)骄W(wǎng)站服務器,會經過口令傳輸�、口令存儲認證等過程。而《報告》中顯示�����,大部分樣本網(wǎng)站在傳輸口令時����,沒有做加密處理。其中���,12家電子商務網(wǎng)、15家招聘網(wǎng)�����、10家婚戀網(wǎng)站采用了最不安全的“原始口令明文傳輸”���,對口令沒有采取任何技術手段加密�。
《報告》主要負責人之一��、中國軟件評測中心信息安全研究部副總經理劉陶告訴《IT時報》記者,這次測評采用了一款客戶端分析軟件���,通過在網(wǎng)站上模擬注冊用戶名和口令�,模擬用戶點擊��,監(jiān)聽瀏覽器內部頁面與服務器的交互過程�����,對交互中的數(shù)據(jù)包進行自動匹配�����,就能了解用戶名��、口令是否以明文形態(tài)被傳輸�,“這個方法通過自身模擬注冊和匹配度來評測,不會影響到他人用戶名和密碼�。”
原始口令明文傳輸比數(shù)據(jù)庫明文密碼存儲隱患更大�。上海電信技術專家周學明告訴記者,用戶名和密碼通過管道到達網(wǎng)站服務器�,如果運營商鋪設的管道安全,尚可抵御外部攻擊���;如果用戶本身所在的網(wǎng)絡是不安全的�����,比如在私人建設的WiFi網(wǎng)絡中����,處在同一網(wǎng)段內的黑客,就可以通過簡單的網(wǎng)絡嗅探或企業(yè)間諜等工具獲取用戶密碼信息�。即便用戶密碼設得再復雜,也是形同虛設������!
部分網(wǎng)站承認存在漏洞
針對《報告》內容,《IT時報》記者隨機采訪了幾家被點名的網(wǎng)站���。淘寶開發(fā)團隊表示,淘寶在用戶口令傳輸處理上確有一定的缺陷�����。他們已在新版本安全控件的開發(fā)中考慮這個問題����,隨著新版本安全控件的發(fā)布�����,將會修復這個缺陷��,實現(xiàn)高級別的加密傳輸模式��。
京東商城也表示�,將加強口令傳輸過程中的安全措施��。戀愛網(wǎng)站珍愛網(wǎng)的公關部門向記者說��,珍愛網(wǎng)采用的是明文傳輸���,但如果采用加密方式����,可能會導致部分用戶不能正常登錄���。
周學明說�,采用加密傳輸方式�����,確實會造成一些網(wǎng)站登錄復雜。正如網(wǎng)上銀行支付那樣�,既要下載控件,輸入用戶名�、密碼,又要獲取動態(tài)密碼等等��,還有可能影響網(wǎng)頁打開速度���,但是保密效果較好���。
“口令‘裸奔’并不是技術上的問題�!眲⑻照f,網(wǎng)站對用戶口令安全性進行維護其實不難����,一個普通的編程人員就能基本搞定,之所以出現(xiàn)各種疏漏�,可能還是網(wǎng)站安全意識不夠�����。“而對于用戶來說����,用一個密碼‘包打天下’是非常危險的。李女士的密碼泄露很可能是因為她在諸多網(wǎng)站用的都是同一個密碼�,一旦被盜,全盤皆露����。因此消費者在各種網(wǎng)站不僅要設置不同的密碼,還要經常更換密碼����������!
口令加密方式無明確規(guī)范
面對《報告》中提到許多網(wǎng)站進行口令明文傳輸?shù)那闆r�,許多網(wǎng)友提出質疑,“如果因為這種情況口令被泄��,個人信息被盜或者造成經濟損失的話���,網(wǎng)站是否有責任����?”上海瑞富律師事務所副主任陳剛說,用戶用注冊口令登錄網(wǎng)站��,相當于雙方之間的一種合同履行方式�。如果信息被黑客攻取,黑客當承擔第一責任���,網(wǎng)站應承擔連帶責任���。然而在實際情況中,對于口令傳輸加密手段卻沒有明文規(guī)定��。
“在口令傳輸中��,有些網(wǎng)站采取普通的加密方式�����,有些網(wǎng)站甚至不加密���,沒有具體標準��,用戶遇到了密碼被竊事件����,很難向這些網(wǎng)站提出維權����。”陳剛說��。
網(wǎng)絡安全專家李鐵軍介紹���,其實業(yè)內在口令處理方面只有一些常識性原則�����,但是國內目前還沒有相關機構和組織��,將上述零散的原則整理成為規(guī)范文檔���。
“目前在網(wǎng)站用戶口令處理方面,沒有一個明確的標準或規(guī)范���,如何處理用戶口令這一私密性很強的用戶個人信息�����,只能依賴網(wǎng)站開發(fā)者���、運營者對安全常識的了解和自律性���。標準的制定和明確將是個人信息保護工作中需要大力推進的方向����!崩铊F軍表示。
您現(xiàn)在的位置: 
