樂購網(wǎng)訊 信息時代,互聯(lián)網(wǎng)成為現(xiàn)代生活必不可少的一部分,網(wǎng)絡世界與真實生活緊密相連后,網(wǎng)絡實名制也成為一個不可忽略的議題。實名制要求用戶提供個人真實信息,當越來越多的密碼、口令、身份證號、手機號、信用卡號、訪問記錄等數(shù)據(jù),必須暴露給網(wǎng)站時,網(wǎng)民個人信息安全的保障問題成為聚焦的核心。
個人信息安全保護要追根溯源找到解決辦法,必須得發(fā)現(xiàn)問題癥結所在,層出不窮的泄露事件暴露出網(wǎng)絡安全的多個“死穴”。
網(wǎng)站缺位:明文密碼只是“擺設”
回顧網(wǎng)絡實名制呼聲緣起的事件,國內最大開發(fā)社區(qū)CSDN數(shù)據(jù)庫泄露事件堪稱史上最大規(guī)模。軟件工程師小高是CSDN的老用戶,去年底,黑客第一個公開600萬用戶的賬戶密碼后,他從網(wǎng)絡下載到了這個數(shù)據(jù)庫,從中找到了自己注冊的帳號密碼,并登陸CSDN進行了密碼修改。
小高稱,密碼被泄露,究其原因,是因為用戶密碼在提交給網(wǎng)站后,被明文放在數(shù)據(jù)庫中,而且數(shù)據(jù)庫也沒有進行加密。“現(xiàn)在很多社交網(wǎng)站仍采用明文密碼,黑客攻破數(shù)據(jù)庫后,直接就可以看到密碼,如果采用密文,還必須先解密,相當于多層防護。而且寫幾句代碼就能對一段字符加密,最常用的是MD5加密方式,是很難破解的。”
游俠安全網(wǎng)站長、首席信息安全官網(wǎng)創(chuàng)始人張百川(網(wǎng)路游俠)認為,明文密碼不是最主要問題,關鍵在于業(yè)務系統(tǒng)存在漏洞。“就像你把錢放在桌子上,本身是沒問題的,但是你門沒關好,這就難說。其實還是網(wǎng)站管理方面的安全意識不夠,工作沒有做到位。”
張百川表示,網(wǎng)站必須加強數(shù)據(jù)庫防護措施,如防火墻、入侵檢測或入侵防御、數(shù)據(jù)庫審計、數(shù)據(jù)庫防護等。
用戶責任:網(wǎng)民個人信息安全意識淡薄
人人、貓撲也曾被爆口令泄露。公務員張峰在人人網(wǎng)上有自己的ID,同學發(fā)現(xiàn)他的賬號突然發(fā)了一對廣告,他得知后并沒在意,也沒有修改密碼,幾天后再登錄人人賬號,就發(fā)現(xiàn)登錄不上去了,至今仍未能找回賬號密碼。
“我無法否認掉自己的責任,網(wǎng)絡上肯定會有漏洞,我們自己要更加注意,在察覺賬號被動的第一時間,我就應該修改自己的密碼。”張峰說,QQ上也經(jīng)常有朋友發(fā)布奇怪信息,告訴他們后也未見更改密碼,有的直接換了QQ號。
據(jù)了解,很多網(wǎng)絡用戶為了省去麻煩,把所有的密碼都設置成一樣的,而且越簡單、好記越好。而CSDN董事長蔣濤說,在密碼泄露事件后,經(jīng)多次提醒,僅有30%用戶修改了密碼。由此可見,諸多網(wǎng)民對個人信息安全保護意識并不強烈。
制度混亂:網(wǎng)站安全機制五花八門
對于廣大用戶來說,個人信息被泄露后,權益無法得到保障才是關鍵問題。在索尼用戶個人資料泄密事件中,索尼承諾為所有泄密的美國用戶提供一項價值100萬美元的身份盜用保險,用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。這種措施增加了用戶的安全保障,國內很多企業(yè)已經(jīng)在這么做。
“騰訊QQ登錄采用令牌,騰訊游戲采用令牌,包括網(wǎng)易的將軍令,招商銀行、工商銀行等的USBKEY也都是安全措施。”張百川說,“這種安全機制很好,但是目前各大網(wǎng)站幾乎都是各行其道,互不兼容。我們外出的時候可以攜帶一兩個,甚至七八個KEY,但是再多就挺麻煩的,我期待有通用認證的那一天。”
一位業(yè)內人士稱,建立各種安全機制需要投入大量資金,在缺乏一個有效立法制度的情況下,互聯(lián)網(wǎng)企業(yè)并不愿花大量資金投入到網(wǎng)絡安全。張百川也表示,很多大網(wǎng)站并沒有安全防護措施,因為他們認為網(wǎng)站服務是第一位的,安全并不重要,即使丟失隱私也不是自己的。
利益鏈條:個人信息成為倒賣籌碼
CSDN事件發(fā)生后,軟件工程師小高也曾利用技術手段窺探過數(shù)據(jù)庫里他人的信息,“我們自己寫了個小程序,把數(shù)據(jù)庫里的郵箱帳號及密碼,到新浪、網(wǎng)易、QQ郵箱進行登錄匹配,600萬條數(shù)據(jù)中,能匹配上的大概有60萬條。”小高說,“我們也登錄他人郵箱也只是覺得好玩,但有些黑客會利用這些數(shù)據(jù)進行買賣交易,比方說商家就能利用郵箱號給用戶發(fā)送廣告。”
在互聯(lián)網(wǎng)行業(yè),數(shù)據(jù)交易早已是公開的秘密,個人隱私保護從來不是單純的技術問題,而是成為利益籌碼被隨意倒賣,在很多黑客看來,數(shù)據(jù)庫是實現(xiàn)最大利益的途徑。
對此,張百川表示必須加強控制手段,一旦犯事,必須嚴懲。“我們的法規(guī)其實是有的,但我個人覺得還不夠嚴厲,我們必須加強控制手段,對待網(wǎng)絡違法犯罪行為絕不姑息,否則以后越來越無法無天。”
不管是微博實名制的出臺、快件實名制的試點,網(wǎng)絡上關于實名制的議題從來沒有降溫過,網(wǎng)友討論的主題始終是對個人信息安全的擔憂。安全感的建立是在信任的基礎上,在制度推行之前,網(wǎng)站如何才能建立安全有效的保障機制、用戶的個人隱私保護意識,以及相關部門規(guī)章制度的建立,這些都是亟待解決的問題。(吳雪麗)
推薦閱讀
歐美科學家發(fā)現(xiàn)公鑰加密算法RSA存在安全漏洞
歐美科學家發(fā)現(xiàn)公鑰加密算法RSA存在安全漏洞>>>詳細閱讀
本文標題:細數(shù)網(wǎng)絡個人信息安全的四大“死穴”
地址:http://www.geekbao.cn/a/11/20120216/31763.html
網(wǎng)友點評
精彩導讀
科技快報
品牌展示