近日,中國軟件評測中心和北京大學互聯網安全技術北京市重點實驗室聯合發布的《網站用戶口令處理安全性外部測評報告》顯示,國內網站對于用戶口令處理的安全意識十分薄弱。在抽取的100個網站中,59個網站沒有采取任何安全措施,而近85%的網站可以看到用戶密碼原文。
對此,國內企業郵箱第一品牌——263企業郵箱產品經理、國內知名安全與產品交互專家張曉丹表示,所謂的明文密碼,則是未將用戶的登錄名與密碼做任何加密處理。黑客通過登錄漏洞或攻擊其服務器便可以直接看到用戶的登錄名與密碼,安全性極低。尤其是不少用戶都是采用同一密碼、同一郵箱作為登錄賬號,一旦泄露,其他網站登錄安全也會受到牽連。
去年CSDN網站用戶密碼遭到大規模泄露的事件一經爆發,便引發了人們的熱切關注。此后,對于明文密碼的討伐聲不絕于耳。“目前整體情況仍不容樂觀。”張曉丹表示。
據了解,此次調研共抽取了門戶網站、郵箱、電子商務招聘類、婚戀類、游戲類、論壇、博客、微博共9大類網站。最終結果顯示,門戶網站、游戲類以及郵箱類的網站安全意識較高,而電子商務、招聘類、婚戀類網站的用戶口令安全現狀最差。
“郵箱作為信息的傳送帶,很可能傳送一些較為隱秘或者敏感的內容,尤其是企業郵箱,一旦密碼遭到泄露,很可能就會對公司造成不可挽回的損失。因此郵箱運營商對于登錄口令的安全意識較高。”張曉丹表示。
以263企業郵箱為例,不僅僅采用了MD5不可逆加密算法,避免了用戶賬號、密碼裸奔的尷尬局面。更增加了IPS(入侵防御系統),IPS系統能夠自動篩查用戶的登錄行為,一旦發現暴力破解等非常規登錄行為,可隨即終止該IP的登錄行為,保證用戶賬號安全。除此之外,263企業郵箱還采用了內外網分離技術,即便不法分子侵入,但由于存放有用戶隱私的信息存放在難以攻破的內網中,其盜取信息的難度大大增加。
張曉丹還表示,“目前,國內對于互聯網用戶口令安全并沒有頒布十分明確的法律規范,一切行為都需要互聯網企業自律。網站管理者提升安全意識,才能保護用戶的信息,贏得用戶的信賴。”文/互聯網新聞--www.geekbao.cn)
推薦閱讀
5月31日,2012第十六屆中國國際軟件博覽會已正式拉開帷幕。本屆軟博會以做大做強軟件產業,服務經濟轉型升級為主題,充分體現了自主技術、促進交易、網絡互動的三大特色,展示了近年來我國軟件產業政策落實情況和發展>>>詳細閱讀
本文標題:網站用戶口令安全薄弱成盜號重災區
地址:http://www.geekbao.cn/a/mail/20120608/66386.html
網友點評
精彩導讀
科技快報
品牌展示