“你的個(gè)人信息安全嗎?”網(wǎng)絡(luò)社會(huì)中的個(gè)人信息安全性一直是大家關(guān)注的熱點(diǎn)。然而一項(xiàng)調(diào)查報(bào)告顯示:抽樣的100個(gè)流行網(wǎng)站中,僅有8個(gè)網(wǎng)站對(duì)用戶(hù)口令(即密碼)采取了充分的安全措施,有59個(gè)網(wǎng)站沒(méi)有采取任何安全措施,即網(wǎng)民所說(shuō)的“裸奔”狀態(tài)。更有85個(gè)網(wǎng)站直接拿到了用戶(hù)的口令原文,明顯侵犯用戶(hù)隱私權(quán)。
5月29日,中國(guó)軟件評(píng)測(cè)中心聯(lián)合北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室發(fā)布的《網(wǎng)站用戶(hù)口令處理安全性外部測(cè)評(píng)報(bào)告》指出:國(guó)內(nèi)網(wǎng)站對(duì)用戶(hù)口令的處理方式存在很大差異,安全問(wèn)題十分突出。大多網(wǎng)站對(duì)用戶(hù)口令管理的安全問(wèn)題重視不夠,僅僅關(guān)注可用性方面,對(duì)于保密性方面的關(guān)注度不夠。
今年1月,中國(guó)互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的數(shù)據(jù)顯示,截至2011年底,中國(guó)網(wǎng)民規(guī)模達(dá)5.13億,網(wǎng)站域名達(dá)到775萬(wàn)。作為網(wǎng)站普遍采用的一種認(rèn)證方式——“用戶(hù)名+口令”是網(wǎng)站允許用戶(hù)進(jìn)行個(gè)人信息訪問(wèn)、操作的一道重要關(guān)卡。用戶(hù)口令的機(jī)密性是網(wǎng)站保護(hù)用戶(hù)個(gè)人信息的重要環(huán)節(jié)。然而,2011年底的CSDN“泄密門(mén)”等事件使得大量用戶(hù)口令以明文形式被泄露,暴露出一些大型網(wǎng)站的開(kāi)發(fā)/運(yùn)營(yíng)者在用戶(hù)口令處理方面安全意識(shí)薄弱。
此次調(diào)查從獨(dú)立的第三方角度進(jìn)行,共抽取了電子商務(wù)、招聘類(lèi)、婚戀類(lèi)、游戲類(lèi)、論壇、博客等9大類(lèi)100個(gè)網(wǎng)站,對(duì)其進(jìn)行用戶(hù)口令處理安全性測(cè)評(píng)。北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室高級(jí)工程師龔曉銳說(shuō):“通過(guò)測(cè)評(píng)發(fā)現(xiàn),不同類(lèi)型的網(wǎng)站對(duì)用戶(hù)口令處理的安全意識(shí)不一樣,招聘類(lèi)、婚戀類(lèi)網(wǎng)站的安全意識(shí)相對(duì)最薄弱,門(mén)戶(hù)類(lèi)、游戲類(lèi)、郵箱類(lèi)網(wǎng)站的安全意識(shí)相對(duì)較好。”
調(diào)查選取了中華英才、智聯(lián)招聘、前程無(wú)憂(yōu)等15家招聘類(lèi)網(wǎng)站,紅娘、珍愛(ài)、知音婚戀等10家婚戀類(lèi)網(wǎng)站。測(cè)評(píng)顯示,這25家網(wǎng)站普遍沒(méi)有將用戶(hù)口令進(jìn)行形態(tài)變化的安全意識(shí),并且沒(méi)有使用加密信道的安全意識(shí),這種不做任何操作的處理模式將用戶(hù)口令直接暴露在傳輸過(guò)程以及服務(wù)器。
對(duì)于涉及網(wǎng)民經(jīng)濟(jì)利益、本應(yīng)該有很高安全意識(shí)的商務(wù)類(lèi)網(wǎng)站,測(cè)評(píng)結(jié)果也讓人“大跌眼鏡”。攜程、京東、淘寶等12家電子商務(wù)類(lèi)網(wǎng)站中,沒(méi)有一個(gè)網(wǎng)站采取了最安全的用戶(hù)口令處理模式,甚至有4個(gè)網(wǎng)站沒(méi)有采取任何安全措施,所有網(wǎng)站都直接獲取了用戶(hù)的原始口令。
龔曉銳告訴記者:“網(wǎng)站對(duì)用戶(hù)口令安全性進(jìn)行維護(hù)其實(shí)很簡(jiǎn)單,一個(gè)普通的編程人員,一兩天的時(shí)間就能基本搞定。”之所以出現(xiàn)這些問(wèn)題,主要原因在于“目前在網(wǎng)站用戶(hù)口令處理方面,還沒(méi)有一個(gè)明確的標(biāo)準(zhǔn)或規(guī)范,如何處理用戶(hù)口令這一私密性很強(qiáng)的用戶(hù)個(gè)人信息,只能依賴(lài)網(wǎng)站開(kāi)發(fā)者、運(yùn)營(yíng)者對(duì)安全常識(shí)的了解以及自律性。”中國(guó)軟件評(píng)測(cè)中心副主任高熾揚(yáng)說(shuō),我國(guó)首個(gè)網(wǎng)站個(gè)人信息保護(hù)規(guī)范《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》,已于去年年底在國(guó)家標(biāo)準(zhǔn)委網(wǎng)站上結(jié)束公示,正式進(jìn)入到國(guó)家標(biāo)準(zhǔn)報(bào)批環(huán)節(jié)。
龔曉銳表示,希望調(diào)查結(jié)果能夠引起網(wǎng)民、網(wǎng)站開(kāi)發(fā)者、網(wǎng)站運(yùn)營(yíng)者、政府主管部門(mén)等對(duì)于用戶(hù)口令處理安全性的重視,加強(qiáng)個(gè)人信息保護(hù),營(yíng)造一個(gè)健康有序的互聯(lián)網(wǎng)環(huán)境。(新華網(wǎng))