“目前在網(wǎng)站用戶口令處理方面，沒有一個(gè)明確的標(biāo)準(zhǔn)或規(guī)范，如何處理用戶口令這一私密性很強(qiáng)的用戶個(gè)人信息，只能依賴網(wǎng)站開發(fā)者、運(yùn)營(yíng)者對(duì)安全常識(shí)的了解和自律性。標(biāo)準(zhǔn)的制定和明確將是個(gè)人信息保護(hù)工作中需要大力推進(jìn)的方向。”李鐵軍表示。

家住上海的李女士上周六京東商城賬號(hào)被盜，經(jīng)查詢，對(duì)方正在瘋狂地用她的積分購(gòu)物。“我3月份剛剛注冊(cè)一個(gè)新賬號(hào)，才買了幾次家電，竟然就被人盜了，實(shí)在太可怕了！”李女士并不知道，她的口令早已處于危險(xiǎn)之中。5月29日，工業(yè)和信息化部計(jì)算機(jī)與微電子發(fā)展研究中心（中國(guó)軟件測(cè)評(píng)中心）等部門發(fā)布的《網(wǎng)站用戶口令處理安全性外部測(cè)評(píng)報(bào)告》（以下簡(jiǎn)稱《報(bào)告》）指出，在100個(gè)樣本網(wǎng)站中，淘寶、京東、攜程、世紀(jì)佳緣等85個(gè)網(wǎng)站可在服務(wù)器端獲取用戶口令原文，僅8家網(wǎng)站采取了最安全的用戶口令傳輸模式。

電商招聘類網(wǎng)站全軍覆沒

2011年底，CSDN、天涯社區(qū)、貓撲等網(wǎng)站因?yàn)槊魑拿艽a存儲(chǔ)而被“刷庫(kù)”， 超過5000萬個(gè)用戶賬號(hào)和密碼在網(wǎng)上公開擴(kuò)散。各大網(wǎng)站都加強(qiáng)了數(shù)據(jù)存儲(chǔ)的安全措施。然而，在用戶口令傳輸過程中，仍然存在很多隱患。一般而言，用戶在登錄網(wǎng)站，輸入用戶名和密碼之后，從用戶電腦傳輸?shù)骄W(wǎng)站服務(wù)器，會(huì)經(jīng)過口令傳輸、口令存儲(chǔ)認(rèn)證等過程。而《報(bào)告》中顯示，大部分樣本網(wǎng)站在傳輸口令時(shí)，沒有做加密處理。其中，12家電子商務(wù)網(wǎng)、15家招聘網(wǎng)、10家婚戀網(wǎng)站采用了最不安全的“原始口令明文傳輸”，對(duì)口令沒有采取任何技術(shù)手段加密。

《報(bào)告》主要負(fù)責(zé)人之一、中國(guó)軟件評(píng)測(cè)中心信息安全研究部副總經(jīng)理劉陶告訴《IT時(shí)報(bào)》記者，這次測(cè)評(píng)采用了一款客戶端分析軟件，通過在網(wǎng)站上模擬注冊(cè)用戶名和口令，模擬用戶點(diǎn)擊，監(jiān)聽瀏覽器內(nèi)部頁(yè)面與服務(wù)器的交互過程，對(duì)交互中的數(shù)據(jù)包進(jìn)行自動(dòng)匹配，就能了解用戶名、口令是否以明文形態(tài)被傳輸，“這個(gè)方法通過自身模擬注冊(cè)和匹配度來評(píng)測(cè)，不會(huì)影響到他人用戶名和密碼。”

原始口令明文傳輸比數(shù)據(jù)庫(kù)明文密碼存儲(chǔ)隱患更大。上海電信技術(shù)專家周學(xué)明告訴記者，用戶名和密碼通過管道到達(dá)網(wǎng)站服務(wù)器，如果運(yùn)營(yíng)商鋪設(shè)的管道安全，尚可抵御外部攻擊；如果用戶本身所在的網(wǎng)絡(luò)是不安全的，比如在私人建設(shè)的WiFi網(wǎng)絡(luò)中，處在同一網(wǎng)段內(nèi)的黑客，就可以通過簡(jiǎn)單的網(wǎng)絡(luò)嗅探或企業(yè)間諜等工具獲取用戶密碼信息。即便用戶密碼設(shè)得再?gòu)?fù)雜，也是形同虛設(shè)。”

部分網(wǎng)站承認(rèn)存在漏洞

針對(duì)《報(bào)告》內(nèi)容，《IT時(shí)報(bào)》記者隨機(jī)采訪了幾家被點(diǎn)名的網(wǎng)站。淘寶開發(fā)團(tuán)隊(duì)表示，淘寶在用戶口令傳輸處理上確有一定的缺陷。他們已在新版本安全控件的開發(fā)中考慮這個(gè)問題，隨著新版本安全控件的發(fā)布，將會(huì)修復(fù)這個(gè)缺陷，實(shí)現(xiàn)高級(jí)別的加密傳輸模式。

京東商城也表示，將加強(qiáng)口令傳輸過程中的安全措施。戀愛網(wǎng)站珍愛網(wǎng)的公關(guān)部門向記者說，珍愛網(wǎng)采用的是明文傳輸，但如果采用加密方式，可能會(huì)導(dǎo)致部分用戶不能正常登錄。

周學(xué)明說，采用加密傳輸方式，確實(shí)會(huì)造成一些網(wǎng)站登錄復(fù)雜。正如網(wǎng)上銀行支付那樣，既要下載控件，輸入用戶名、密碼，又要獲取動(dòng)態(tài)密碼等等，還有可能影響網(wǎng)頁(yè)打開速度，但是保密效果較好。

“口令‘裸奔’并不是技術(shù)上的問題。”劉陶說，網(wǎng)站對(duì)用戶口令安全性進(jìn)行維護(hù)其實(shí)不難，一個(gè)普通的編程人員就能基本搞定，之所以出現(xiàn)各種疏漏，可能還是網(wǎng)站安全意識(shí)不夠。“而對(duì)于用戶來說，用一個(gè)密碼‘包打天下’是非常危險(xiǎn)的。李女士的密碼泄露很可能是因?yàn)樗�在諸多網(wǎng)站用的都是同一個(gè)密碼，一旦被盜，全盤皆露。因此消費(fèi)者在各種網(wǎng)站不僅要設(shè)置不同的密碼，還要經(jīng)常更換密碼。”

口令加密方式無明確規(guī)范

面對(duì)《報(bào)告》中提到許多網(wǎng)站進(jìn)行口令明文傳輸?shù)那闆r，許多網(wǎng)友提出質(zhì)疑，“如果因?yàn)檫@種情況口令被泄，個(gè)人信息被盜或者造成經(jīng)濟(jì)損失的話，網(wǎng)站是否有責(zé)任？”上海瑞富律師事務(wù)所副主任陳剛說，用戶用注冊(cè)口令登錄網(wǎng)站，相當(dāng)于雙方之間的一種合同履行方式。如果信息被黑客攻取，黑客當(dāng)承擔(dān)第一責(zé)任，網(wǎng)站應(yīng)承擔(dān)連帶責(zé)任。然而在實(shí)際情況中，對(duì)于口令傳輸加密手段卻沒有明文規(guī)定。

“在口令傳輸中，有些網(wǎng)站采取普通的加密方式，有些網(wǎng)站甚至不加密，沒有具體標(biāo)準(zhǔn)，用戶遇到了密碼被竊事件，很難向這些網(wǎng)站提出維權(quán)。”陳剛說。

網(wǎng)絡(luò)安全專家李鐵軍介紹，其實(shí)業(yè)內(nèi)在口令處理方面只有一些常識(shí)性原則，但是國(guó)內(nèi)目前還沒有相關(guān)機(jī)構(gòu)和組織，將上述零散的原則整理成為規(guī)范文檔。

“目前在網(wǎng)站用戶口令處理方面，沒有一個(gè)明確的標(biāo)準(zhǔn)或規(guī)范，如何處理用戶口令這一私密性很強(qiáng)的用戶個(gè)人信息，只能依賴網(wǎng)站開發(fā)者、運(yùn)營(yíng)者對(duì)安全常識(shí)的了解和自律性。標(biāo)準(zhǔn)的制定和明確將是個(gè)人信息保護(hù)工作中需要大力推進(jìn)的方向。”李鐵軍表示。

　　推薦閱讀

　　拍照應(yīng)用Camera+創(chuàng)始人的憤怒：去他媽的風(fēng)投

卡薩桑塔同時(shí)表示，一些風(fēng)險(xiǎn)投資公司也對(duì)TapTapTap表示感興趣，而該公司近期已接近完成第一輪融資。不過該公司最終決定放棄融資，因?yàn)樗麄儭安幌矚g投資者為公司設(shè)定的方向”，因此決定保持獨(dú)立地位�？ㄋ_桑塔對(duì)風(fēng)投公>>>詳細(xì)閱讀

本文標(biāo)題：八成網(wǎng)站登錄口令無加密 淘寶京東等電商中槍

地址：http://m.sdlzkt.com/a/guandian/yejie/20111229/150726.html

 1/2    1  2 下一頁(yè)