樂(lè)購(gòu)網(wǎng)訊 信息時(shí)代,互聯(lián)網(wǎng)成為現(xiàn)代生活必不可少的一部分,網(wǎng)絡(luò)世界與真實(shí)生活緊密相連后,網(wǎng)絡(luò)實(shí)名制也成為一個(gè)不可忽略的議題。實(shí)名制要求用戶提供個(gè)人真實(shí)信息,當(dāng)越來(lái)越多的密碼、口令、身份證號(hào)、手機(jī)號(hào)、信用卡號(hào)、訪問(wèn)記錄等數(shù)據(jù),必須暴露給網(wǎng)站時(shí),網(wǎng)民個(gè)人信息安全的保障問(wèn)題成為聚焦的核心。
個(gè)人信息安全保護(hù)要追根溯源找到解決辦法,必須得發(fā)現(xiàn)問(wèn)題癥結(jié)所在,層出不窮的泄露事件暴露出網(wǎng)絡(luò)安全的多個(gè)“死穴”。
網(wǎng)站缺位:明文密碼只是“擺設(shè)”
回顧網(wǎng)絡(luò)實(shí)名制呼聲緣起的事件,國(guó)內(nèi)最大開(kāi)發(fā)社區(qū)CSDN數(shù)據(jù)庫(kù)泄露事件堪稱史上最大規(guī)模。軟件工程師小高是CSDN的老用戶,去年底,黑客第一個(gè)公開(kāi)600萬(wàn)用戶的賬戶密碼后,他從網(wǎng)絡(luò)下載到了這個(gè)數(shù)據(jù)庫(kù),從中找到了自己注冊(cè)的帳號(hào)密碼,并登陸CSDN進(jìn)行了密碼修改。
小高稱,密碼被泄露,究其原因,是因?yàn)橛脩裘艽a在提交給網(wǎng)站后,被明文放在數(shù)據(jù)庫(kù)中,而且數(shù)據(jù)庫(kù)也沒(méi)有進(jìn)行加密。“現(xiàn)在很多社交網(wǎng)站仍采用明文密碼,黑客攻破數(shù)據(jù)庫(kù)后,直接就可以看到密碼,如果采用密文,還必須先解密,相當(dāng)于多層防護(hù)。而且寫(xiě)幾句代碼就能對(duì)一段字符加密,最常用的是MD5加密方式,是很難破解的。”
游俠安全網(wǎng)站長(zhǎng)、首席信息安全官網(wǎng)創(chuàng)始人張百川(網(wǎng)路游俠)認(rèn)為,明文密碼不是最主要問(wèn)題,關(guān)鍵在于業(yè)務(wù)系統(tǒng)存在漏洞。“就像你把錢放在桌子上,本身是沒(méi)問(wèn)題的,但是你門(mén)沒(méi)關(guān)好,這就難說(shuō)。其實(shí)還是網(wǎng)站管理方面的安全意識(shí)不夠,工作沒(méi)有做到位。”
張百川表示,網(wǎng)站必須加強(qiáng)數(shù)據(jù)庫(kù)防護(hù)措施,如防火墻、入侵檢測(cè)或入侵防御、數(shù)據(jù)庫(kù)審計(jì)、數(shù)據(jù)庫(kù)防護(hù)等。
用戶責(zé)任:網(wǎng)民個(gè)人信息安全意識(shí)淡薄
人人、貓撲也曾被爆口令泄露。公務(wù)員張峰在人人網(wǎng)上有自己的ID,同學(xué)發(fā)現(xiàn)他的賬號(hào)突然發(fā)了一對(duì)廣告,他得知后并沒(méi)在意,也沒(méi)有修改密碼,幾天后再登錄人人賬號(hào),就發(fā)現(xiàn)登錄不上去了,至今仍未能找回賬號(hào)密碼。
“我無(wú)法否認(rèn)掉自己的責(zé)任,網(wǎng)絡(luò)上肯定會(huì)有漏洞,我們自己要更加注意,在察覺(jué)賬號(hào)被動(dòng)的第一時(shí)間,我就應(yīng)該修改自己的密碼。”張峰說(shuō),QQ上也經(jīng)常有朋友發(fā)布奇怪信息,告訴他們后也未見(jiàn)更改密碼,有的直接換了QQ號(hào)。
據(jù)了解,很多網(wǎng)絡(luò)用戶為了省去麻煩,把所有的密碼都設(shè)置成一樣的,而且越簡(jiǎn)單、好記越好。而CSDN董事長(zhǎng)蔣濤說(shuō),在密碼泄露事件后,經(jīng)多次提醒,僅有30%用戶修改了密碼。由此可見(jiàn),諸多網(wǎng)民對(duì)個(gè)人信息安全保護(hù)意識(shí)并不強(qiáng)烈。
制度混亂:網(wǎng)站安全機(jī)制五花八門(mén)
對(duì)于廣大用戶來(lái)說(shuō),個(gè)人信息被泄露后,權(quán)益無(wú)法得到保障才是關(guān)鍵問(wèn)題。在索尼用戶個(gè)人資料泄密事件中,索尼承諾為所有泄密的美國(guó)用戶提供一項(xiàng)價(jià)值100萬(wàn)美元的身份盜用保險(xiǎn),用于防止被竊取用戶信用卡和個(gè)人信息被濫用而造成損失。這種措施增加了用戶的安全保障,國(guó)內(nèi)很多企業(yè)已經(jīng)在這么做。
“騰訊QQ登錄采用令牌,騰訊游戲采用令牌,包括網(wǎng)易的將軍令,招商銀行、工商銀行等的USBKEY也都是安全措施。”張百川說(shuō),“這種安全機(jī)制很好,但是目前各大網(wǎng)站幾乎都是各行其道,互不兼容。我們外出的時(shí)候可以攜帶一兩個(gè),甚至七八個(gè)KEY,但是再多就挺麻煩的,我期待有通用認(rèn)證的那一天。”
一位業(yè)內(nèi)人士稱,建立各種安全機(jī)制需要投入大量資金,在缺乏一個(gè)有效立法制度的情況下,互聯(lián)網(wǎng)企業(yè)并不愿花大量資金投入到網(wǎng)絡(luò)安全。張百川也表示,很多大網(wǎng)站并沒(méi)有安全防護(hù)措施,因?yàn)樗麄冋J(rèn)為網(wǎng)站服務(wù)是第一位的,安全并不重要,即使丟失隱私也不是自己的。
利益鏈條:個(gè)人信息成為倒賣籌碼
CSDN事件發(fā)生后,軟件工程師小高也曾利用技術(shù)手段窺探過(guò)數(shù)據(jù)庫(kù)里他人的信息,“我們自己寫(xiě)了個(gè)小程序,把數(shù)據(jù)庫(kù)里的郵箱帳號(hào)及密碼,到新浪、網(wǎng)易、QQ郵箱進(jìn)行登錄匹配,600萬(wàn)條數(shù)據(jù)中,能匹配上的大概有60萬(wàn)條。”小高說(shuō),“我們也登錄他人郵箱也只是覺(jué)得好玩,但有些黑客會(huì)利用這些數(shù)據(jù)進(jìn)行買賣交易,比方說(shuō)商家就能利用郵箱號(hào)給用戶發(fā)送廣告。”
在互聯(lián)網(wǎng)行業(yè),數(shù)據(jù)交易早已是公開(kāi)的秘密,個(gè)人隱私保護(hù)從來(lái)不是單純的技術(shù)問(wèn)題,而是成為利益籌碼被隨意倒賣,在很多黑客看來(lái),數(shù)據(jù)庫(kù)是實(shí)現(xiàn)最大利益的途徑。
對(duì)此,張百川表示必須加強(qiáng)控制手段,一旦犯事,必須嚴(yán)懲。“我們的法規(guī)其實(shí)是有的,但我個(gè)人覺(jué)得還不夠嚴(yán)厲,我們必須加強(qiáng)控制手段,對(duì)待網(wǎng)絡(luò)違法犯罪行為絕不姑息,否則以后越來(lái)越無(wú)法無(wú)天。”
不管是微博實(shí)名制的出臺(tái)、快件實(shí)名制的試點(diǎn),網(wǎng)絡(luò)上關(guān)于實(shí)名制的議題從來(lái)沒(méi)有降溫過(guò),網(wǎng)友討論的主題始終是對(duì)個(gè)人信息安全的擔(dān)憂。安全感的建立是在信任的基礎(chǔ)上,在制度推行之前,網(wǎng)站如何才能建立安全有效的保障機(jī)制、用戶的個(gè)人隱私保護(hù)意識(shí),以及相關(guān)部門(mén)規(guī)章制度的建立,這些都是亟待解決的問(wèn)題。(吳雪麗)
推薦閱讀
歐美科學(xué)家發(fā)現(xiàn)公鑰加密算法RSA存在安全漏洞
歐美科學(xué)家發(fā)現(xiàn)公鑰加密算法RSA存在安全漏洞>>>詳細(xì)閱讀
本文標(biāo)題:細(xì)數(shù)網(wǎng)絡(luò)個(gè)人信息安全的四大“死穴”
地址:http://www.sdlzkt.com/a/11/20120216/31763.html
網(wǎng)友點(diǎn)評(píng)
精彩導(dǎo)讀
科技快報(bào)
品牌展示