近日,中國軟件評測中心和北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室聯(lián)合發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評報告》顯示,在抽取的100個網(wǎng)站中,大多數(shù)網(wǎng)站對用戶口令處理的安全意識不夠,有59個網(wǎng)站沒有采取任何安全措施,使得用戶的密碼處于“裸奔”狀態(tài)。
調(diào)查 85%網(wǎng)站可看用戶密碼原文
報告抽取了門戶、郵箱、電子商務(wù)、招聘等9類100個網(wǎng)站進行測評,測評發(fā)現(xiàn),僅有8個網(wǎng)站采取了充分的安全措施對用戶口令做處理,有59個網(wǎng)站沒有采取任何安全措施。另外,在這100家網(wǎng)站中有85個網(wǎng)站直接拿到了用戶的口令原文,其中,招聘類、婚戀類、電子商務(wù)類網(wǎng)站的用戶口令安全現(xiàn)狀最差。
北大互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室高級工程師龔曉銳認(rèn)為,用戶口令原文是用戶重要的個人隱私信息,這對用戶構(gòu)成很大的個人信息泄露的風(fēng)險。“部分用戶在不同網(wǎng)站注冊賬號時習(xí)慣采用相同的用戶名和口令,一旦在某網(wǎng)站的口令被泄露,在其他網(wǎng)站上的數(shù)據(jù)也會遭到一定程度的“連帶式泄露’。”
探因 處理用戶密碼尚無明確規(guī)范
中國軟件評測中心副主任高熾揚說,其實提高這些網(wǎng)站的用戶口令安全是一個常規(guī)性的安全保護措施,而且提高安全性的成本很低。一個普通編程人員利用現(xiàn)有的公開的技術(shù),一天的時間就能實現(xiàn),而且還不用客戶更新信息。
高熾揚認(rèn)為,目前在網(wǎng)站用戶口令處理方面,還沒有一個明確的標(biāo)準(zhǔn)或規(guī)范,如何處理用戶口令只能依賴網(wǎng)站開發(fā)者、運營者對安全常識的了解及自律,這也是造成現(xiàn)有問題的主因之一。
■ 調(diào)查說明
選取網(wǎng)站:共抽取門戶、郵箱、電子商務(wù)、招聘類、婚戀類、游戲類、論壇、博客、微博共9大類100個網(wǎng)站。之所以選擇這些網(wǎng)站,是因為這些網(wǎng)站瀏覽量大,用戶多,個人真實信息也比較多。
結(jié)果:門戶、郵箱、游戲類等成熟運營的網(wǎng)站相對較好,電子商務(wù)、招聘類、婚戀類網(wǎng)站的用戶口令安全現(xiàn)狀最差。調(diào)查中,共抽取12個電子商務(wù)類、15個招聘類、10個婚戀類網(wǎng)站,這些網(wǎng)站口令的傳輸形態(tài)均為“原文”。
推薦閱讀
網(wǎng)購消費者中差評被屏蔽 淘寶回應(yīng)稱不知情
電商平臺控制中差評是一個行業(yè)潛規(guī)則,多數(shù)電商平臺都曾經(jīng)做過。電商平臺建設(shè)初期,會出現(xiàn)通過控制用戶對商品的負(fù)面評價來拉動銷售,這種信息不對稱短期內(nèi)能幫助電商提高銷售,但從長期角度看其犧牲的是用戶體驗和自>>>詳細(xì)閱讀
本文標(biāo)題:婚戀招聘類網(wǎng)站用戶密碼裸奔 無安全措施
地址:http://www.sdlzkt.com/a/guandian/yejie/20111230/151806.html
網(wǎng)友點評
精彩導(dǎo)讀
科技快報
品牌展示