今年5月,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布了《网站用户口令处理安全性外部测评报告》,在抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站,对其用户口令处理进行了安全性测评后发现,仅有8个网站采取了充分的安全措施对用户口令做处理,更有85个网站直接拿到用户的口令原文。
测评负责人之一,北京大学互联网安全技术北京市重点实验室高级工程师龚晓跃表示,“整体上看,我国网站在用户口令保护方面还处于一个很初级的水平,亟待提升。”
中小网站成泄密高发区
“现在很多中小网站都是用开源平台来做的网站架构,安全方面存在着很多漏洞。黑客只要抓住一个漏洞就能对其破解,甚至几分钟内就能爆库。”王志海对记者介绍道。国内的大部分中小网站受硬件和软件资源的成本限制,对防火墙、安全编码等安全投入都不够大,这使得黑客轻而易举就能破解网站的数据库和存储的用户密码,即圈子里所说的“爆库”。
游侠安全网站长张百川告诉记者,“现在很多大网站都在建立分站,频道栏目也越来越多,有些频道,比如邮箱登录时安全措施做得比较好,但有些频道做得比较差,用同一个账号密码登录这些频道时,就会有可能带来安全问题。”
同时,在密码的存储和保护上,许多网站也掉以轻心,导致被爆库后黑客可以轻易获取密码。王志海指出,虽然现在很多网站虽然都采用了MD5这种流行算法进行加密,但做得非常简单,没有加入随机值等保护形式,很容易被破解。赛门铁克诺顿工程师张扬则表示,从以往的密码泄露问题来看,有很多是因为管理员将密码以明文形式存放在数据库里面,当黑客攻击网站获取数据库权限之后,对用户密码是一览无遗。
内鬼做乱也是重要隐患
“除了外部攻击之外,业内很多网站泄密还是内鬼所为。”王志海在接受记者采访时,语出惊人。他表示,在一些竞争激烈的行业内,企业内部人员流动性频繁,有时出于行业间的相互竞争,某些从业人员会将掌握的数据库信息倒卖给其他公司。而有些网站的内部人员为了牟利,会将信息倒卖给做信息收费服务公司,导致用户信息外流。
张百川了解的情况是,有时候内鬼并不一定就是企业的内部人员,而是为这些企业做外包的公司。
张百川讲述了这样一个案例,陕西某家运营商将计费系统项目部分外包给了一家当地的IT企业。结果实施该OA项目的IT企业某员工心怀不轨,白天正常上班,晚上利用自己获得的访问权限,将运营商的用户数据库下载到自己的电脑中,“最终这人拿到了陕西7个地市1394万手机用户信息,卖了3万元,而买家靠这个数据库群发短信,最终赚了一百多万。”
N 0.3 密码的选择题:便捷or 安全
高女士的烦恼是,为什么密码总是要改?“心岸”的烦恼则是,同一个密码为什么不安全?在两个人的烦恼背后,是现代人的密码人生中,在便捷性和安全性之间的选择难题。目前有不少解决这种密码难题的方式,但同样存在两种选择的纠结。
联合登录的利与弊
如今网民在登录一些网站时,往往可以直接使用微博、QQ的账号密码登录,这被业内称为“联合登录”。京东商城的技术负责人向《IT时报》记者表示,联合登录采用的是一种称为oAuth的技术,第三方网站并不能触及到用户的账号信息,“当外部联合登录网站发生泄密状况时,可以第一时间关闭该泄密网站的联合登陆方式来保证用户的安全。”
张百川则认为联合登录利弊参半。“好处是简化了用户注册的过程,有些安全技术能力不强的中小型网站,通过联合登录的方式,相当于将自己的用户密码安全托管给了微博、QQ,从而避免从自己这里泄露了用户密码的可能。但另外一方面,如果一旦微博、QQ的密码泄露后,也会造成连锁反应。”而上海众人网络信息科技CEO谈剑锋非常反对这种方式,他同样担心泄密后产生连锁反应。
