家住上海的李女士上周六京東商城賬號被盜,經(jīng)查詢,對方正在瘋狂地用她的積分購物。“我3月份剛剛注冊一個新賬號,才買了幾次家電,竟然就被人盜了,實(shí)在太可怕了!”李女士并不知道,她的口令早已處于危險之中。5月29日,工業(yè)和信息化部計算機(jī)與微電子發(fā)展研究中心(中國軟件測評中心)等部門發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評報告》(以下簡稱《報告》)指出,在100個樣本網(wǎng)站中,淘寶、京東、攜程、世紀(jì)佳緣等85個網(wǎng)站可在服務(wù)器端獲取用戶口令原文,僅8家網(wǎng)站采取了最安全的用戶口令傳輸模式。
電商招聘類網(wǎng)站全軍覆沒
2011年底,CSDN、天涯社區(qū)、貓撲等網(wǎng)站因?yàn)槊魑拿艽a存儲而被“刷庫”, 超過5000萬個用戶賬號和密碼在網(wǎng)上公開擴(kuò)散。各大網(wǎng)站都加強(qiáng)了數(shù)據(jù)存儲的安全措施。然而,在用戶口令傳輸過程中,仍然存在很多隱患。一般而言,用戶在登錄網(wǎng)站,輸入用戶名和密碼之后,從用戶電腦傳輸?shù)骄W(wǎng)站服務(wù)器,會經(jīng)過口令傳輸、口令存儲認(rèn)證等過程。而《報告》中顯示,大部分樣本網(wǎng)站在傳輸口令時,沒有做加密處理。其中,12家電子商務(wù)網(wǎng)、15家招聘網(wǎng)、10家婚戀網(wǎng)站采用了最不安全的“原始口令明文傳輸”,對口令沒有采取任何技術(shù)手段加密。
《報告》主要負(fù)責(zé)人之一、中國軟件評測中心信息安全研究部副總經(jīng)理劉陶告訴《IT時報》記者,這次測評采用了一款客戶端分析軟件,通過在網(wǎng)站上模擬注冊用戶名和口令,模擬用戶點(diǎn)擊,監(jiān)聽瀏覽器內(nèi)部頁面與服務(wù)器的交互過程,對交互中的數(shù)據(jù)包進(jìn)行自動匹配,就能了解用戶名、口令是否以明文形態(tài)被傳輸,“這個方法通過自身模擬注冊和匹配度來評測,不會影響到他人用戶名和密碼。”
原始口令明文傳輸比數(shù)據(jù)庫明文密碼存儲隱患更大。上海電信技術(shù)專家周學(xué)明告訴記者,用戶名和密碼通過管道到達(dá)網(wǎng)站服務(wù)器,如果運(yùn)營商鋪設(shè)的管道安全,尚可抵御外部攻擊;如果用戶本身所在的網(wǎng)絡(luò)是不安全的,比如在私人建設(shè)的WiFi網(wǎng)絡(luò)中,處在同一網(wǎng)段內(nèi)的黑客,就可以通過簡單的網(wǎng)絡(luò)嗅探或企業(yè)間諜等工具獲取用戶密碼信息。即便用戶密碼設(shè)得再復(fù)雜,也是形同虛設(shè)。”
部分網(wǎng)站承認(rèn)存在漏洞
針對《報告》內(nèi)容,《IT時報》記者隨機(jī)采訪了幾家被點(diǎn)名的網(wǎng)站。淘寶開發(fā)團(tuán)隊表示,淘寶在用戶口令傳輸處理上確有一定的缺陷。他們已在新版本安全控件的開發(fā)中考慮這個問題,隨著新版本安全控件的發(fā)布,將會修復(fù)這個缺陷,實(shí)現(xiàn)高級別的加密傳輸模式。
京東商城也表示,將加強(qiáng)口令傳輸過程中的安全措施。戀愛網(wǎng)站珍愛網(wǎng)的公關(guān)部門向記者說,珍愛網(wǎng)采用的是明文傳輸,但如果采用加密方式,可能會導(dǎo)致部分用戶不能正常登錄。
周學(xué)明說,采用加密傳輸方式,確實(shí)會造成一些網(wǎng)站登錄復(fù)雜。正如網(wǎng)上銀行支付那樣,既要下載控件,輸入用戶名、密碼,又要獲取動態(tài)密碼等等,還有可能影響網(wǎng)頁打開速度,但是保密效果較好。
“口令‘裸奔’并不是技術(shù)上的問題。”劉陶說,網(wǎng)站對用戶口令安全性進(jìn)行維護(hù)其實(shí)不難,一個普通的編程人員就能基本搞定,之所以出現(xiàn)各種疏漏,可能還是網(wǎng)站安全意識不夠。“而對于用戶來說,用一個密碼‘包打天下’是非常危險的。李女士的密碼泄露很可能是因?yàn)樗谥T多網(wǎng)站用的都是同一個密碼,一旦被盜,全盤皆露。因此消費(fèi)者在各種網(wǎng)站不僅要設(shè)置不同的密碼,還要經(jīng)常更換密碼。”
口令加密方式無明確規(guī)范
面對《報告》中提到許多網(wǎng)站進(jìn)行口令明文傳輸?shù)那闆r,許多網(wǎng)友提出質(zhì)疑,“如果因?yàn)檫@種情況口令被泄,個人信息被盜或者造成經(jīng)濟(jì)損失的話,網(wǎng)站是否有責(zé)任?”上海瑞富律師事務(wù)所副主任陳剛說,用戶用注冊口令登錄網(wǎng)站,相當(dāng)于雙方之間的一種合同履行方式。如果信息被黑客攻取,黑客當(dāng)承擔(dān)第一責(zé)任,網(wǎng)站應(yīng)承擔(dān)連帶責(zé)任。然而在實(shí)際情況中,對于口令傳輸加密手段卻沒有明文規(guī)定。
“在口令傳輸中,有些網(wǎng)站采取普通的加密方式,有些網(wǎng)站甚至不加密,沒有具體標(biāo)準(zhǔn),用戶遇到了密碼被竊事件,很難向這些網(wǎng)站提出維權(quán)。”陳剛說。
網(wǎng)絡(luò)安全專家李鐵軍介紹,其實(shí)業(yè)內(nèi)在口令處理方面只有一些常識性原則,但是國內(nèi)目前還沒有相關(guān)機(jī)構(gòu)和組織,將上述零散的原則整理成為規(guī)范文檔。
“目前在網(wǎng)站用戶口令處理方面,沒有一個明確的標(biāo)準(zhǔn)或規(guī)范,如何處理用戶口令這一私密性很強(qiáng)的用戶個人信息,只能依賴網(wǎng)站開發(fā)者、運(yùn)營者對安全常識的了解和自律性。標(biāo)準(zhǔn)的制定和明確將是個人信息保護(hù)工作中需要大力推進(jìn)的方向。”李鐵軍表示。
推薦閱讀
近期播出的紀(jì)錄片《舌尖上的中國》紅遍大江南北,網(wǎng)友們紛紛受其誘惑網(wǎng)羅各種美食做法,安裝APP(第三方應(yīng)用)菜譜瞬間成為潮流。但日前根據(jù)360安全中心檢測顯示,一款名為“舌尖上的中國菜”的安卓應(yīng)用會竊取用戶隱私>>>詳細(xì)閱讀
本文標(biāo)題:八成網(wǎng)站登錄口令裸奔 電商類全軍覆沒
地址:http://www.sdlzkt.com/a/11/20120611/66922.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報
品牌展示