電商、招聘類網(wǎng)站八成用戶密碼“裸奔”

日前，中國軟件評測中心、北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室聯(lián)合發(fā)布《網(wǎng)站用戶口令處理安全性外部測評報告》，報告顯示在其抽取的100個網(wǎng)站中，僅有8個網(wǎng)站采取了充分的安全措施，大多數(shù)網(wǎng)站對用戶口令處理的安全意識不夠，其中59個網(wǎng)站沒有采取任何安全措施，使得用戶的密碼處于“裸奔”狀態(tài)。

測評抽取了門戶、郵箱、電子商務(wù)、招聘等9類100個網(wǎng)站進(jìn)行測評，之所以選擇這些網(wǎng)站，是因為這些網(wǎng)站瀏覽量大，用戶多，個人真實信息也比較多。但測評結(jié)果發(fā)現(xiàn)，國內(nèi)網(wǎng)站對用戶口令的處理方式存在很大的差異，安全性方面問題十分突出。在此次評測選取的這100家網(wǎng)站中，竟然有85個網(wǎng)站可以直接拿到用戶的口令原文，這些網(wǎng)站的處理模式大大增加了用戶的安全風(fēng)險。其中，招聘類、婚戀類、電子商務(wù)類網(wǎng)站的用戶口令安全現(xiàn)狀最差，門戶類、游戲類、郵箱類網(wǎng)站的安全意識相對較高。

由于網(wǎng)站常采用郵箱做用戶名，因此，對用戶名的機密性保護也十分必要。而在所測的100個網(wǎng)站中，僅有3個網(wǎng)站對用戶名做了簡單的編碼處理，其余網(wǎng)站均采用明文形態(tài)傳輸用戶名，反映出絕大多數(shù)網(wǎng)站在用戶名的機密性保護上面，沒有相應(yīng)的安全意識。

招聘、婚戀類網(wǎng)站包含大量個人真實信息，一旦裸奔將會導(dǎo)致用戶個人隱私的泄露。而電子商務(wù)類網(wǎng)站相對來說對安全問題更加敏感，因為這里不僅有用戶信息，還涉及用戶財產(chǎn)安全。但實際測評中發(fā)現(xiàn)，電子商務(wù)網(wǎng)站在用戶口令處理方面卻很不專業(yè)，令人大跌眼睛。幾乎沒有一個網(wǎng)站采取了最安全的用戶口令處理模式，甚至有4個網(wǎng)站沒有采取任何安全措施，所有網(wǎng)站都可直接獲取用戶的原始口令。

據(jù)悉，網(wǎng)站對用戶口令的處理應(yīng)包括三個階段，即用戶在頁面上輸入口令后：客戶端的頁面控件、頁面腳本對口令的處理；傳輸信道對口令的傳輸；服務(wù)器端對口令的存儲和認(rèn)證。此次對這100個網(wǎng)站的用戶口令安全處理進(jìn)行測評，目的是客觀地反映互聯(lián)網(wǎng)公共網(wǎng)站對于用戶口令處理的現(xiàn)狀和問題，以引起網(wǎng)民用戶、網(wǎng)站開發(fā)者、網(wǎng)站運營者、政府主管部門等對于用戶口令處理安全性的重視。

北大互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室高級工程師龔曉銳認(rèn)為，用戶口令原文是用戶重要的個人隱私信息，一旦不加以保護，就可能會對用戶構(gòu)成個人信息泄露的風(fēng)險?！安糠钟脩粼诓煌W(wǎng)站注冊賬號時習(xí)慣采用相同的用戶名和口令，一旦在某網(wǎng)站的口令被泄露，該用戶在其他網(wǎng)站上的數(shù)據(jù)也可能會遭到一定程度的‘連帶式泄露’?！?/p>

中國軟件評測中心副主任高熾揚說，其實提高這些網(wǎng)站的用戶口令安全是一個常規(guī)性的安全保護措施，而且提高安全性的成本很低。一個普通編程人員利用現(xiàn)有的公開的技術(shù)，一天時間就能實現(xiàn)，而且不用客戶更新信息。高熾揚認(rèn)為，目前在網(wǎng)站用戶口令處理方面，還沒有一個明確的標(biāo)準(zhǔn)或規(guī)范，如何處理用戶口令只能依賴網(wǎng)站開發(fā)者、運營者對安全常識的了解及自律，這也是造成現(xiàn)有問題的主因之一。

為了進(jìn)一步提升網(wǎng)站對用戶信息的保護，加強相關(guān)企業(yè)在技術(shù)和管理體系上對個人信息的保護力度，營造一個健康有序的互聯(lián)網(wǎng)環(huán)境。中國軟件評測中心依照《信息安全技術(shù)公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》國家標(biāo)準(zhǔn)，將面向網(wǎng)站等相關(guān)企業(yè)提供《個人信息保護管理體系認(rèn)證》服務(wù)。針對哪些企業(yè)需要進(jìn)行個人信息保護管理體系的認(rèn)證，高熾揚表示，個人信息保護對每個企業(yè)或組織來說都是需要的，所以個人信息保護管理體系認(rèn)證具有普遍的適用性。目前，中國軟件評測中心推出的認(rèn)證服務(wù)主要針對個人信息泄露的重災(zāi)區(qū)——互聯(lián)網(wǎng)企業(yè)。高熾揚說：“企業(yè)應(yīng)該從風(fēng)險評估、系統(tǒng)規(guī)劃、風(fēng)險管理和頒行推廣四個方面建設(shè)企業(yè)個人保護管理體系。目前，中國軟件評測中心已經(jīng)開展了《個人信息保護管理體系認(rèn)證》的相關(guān)業(yè)務(wù)?！?/p>