论文部分内容阅读
日前,中国软件评测中心、北京大学互联网安全技术北京市重点实验室联合发布《网站用户口令处理安全性外部测评报告》,报告显示在其抽取的100个网站中,仅有8个网站采取了充分的安全措施,大多数网站对用户口令处理的安全意识不够,其中59个网站没有采取任何安全措施,使得用户的密码处于“裸奔”状态。
测评抽取了门户、邮箱、电子商务、招聘等9类100个网站进行测评,之所以选择这些网站,是因为这些网站浏览量大,用户多,个人真实信息也比较多。但测评结果发现,国内网站对用户口令的处理方式存在很大的差异,安全性方面问题十分突出。在此次评测选取的这100家网站中,竟然有85个网站可以直接拿到用户的口令原文,这些网站的处理模式大大增加了用户的安全风险。其中,招聘类、婚恋类、电子商务类网站的用户口令安全现状最差,门户类、游戏类、邮箱类网站的安全意识相对较高。
由于网站常采用邮箱做用户名,因此,对用户名的机密性保护也十分必要。而在所测的100个网站中,仅有3个网站对用户名做了简单的编码处理,其余网站均采用明文形态传输用户名,反映出绝大多数网站在用户名的机密性保护上面,没有相应的安全意识。
招聘、婚恋类网站包含大量个人真实信息,一旦裸奔将会导致用户个人隐私的泄露。而电子商务类网站相对来说对安全问题更加敏感,因为这里不仅有用户信息,还涉及用户财产安全。但实际测评中发现,电子商务网站在用户口令处理方面却很不专业,令人大跌眼睛。几乎没有一个网站采取了最安全的用户口令处理模式,甚至有4个网站没有采取任何安全措施,所有网站都可直接获取用户的原始口令。
据悉,网站对用户口令的处理应包括三个阶段,即用户在页面上输入口令后:客户端的页面控件、页面脚本对口令的处理;传输信道对口令的传输;服务器端对口令的存储和认证。此次对这100个网站的用户口令安全处理进行测评,目的是客观地反映互联网公共网站对于用户口令处理的现状和问题,以引起网民用户、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视。
北大互联网安全技术北京市重点实验室高级工程师龚晓锐认为,用户口令原文是用户重要的个人隐私信息,一旦不加以保护,就可能会对用户构成个人信息泄露的风险。“部分用户在不同网站注册账号时习惯采用相同的用户名和口令,一旦在某网站的口令被泄露,该用户在其他网站上的数据也可能会遭到一定程度的‘连带式泄露’。”
中国软件评测中心副主任高炽扬说,其实提高这些网站的用户口令安全是一个常规性的安全保护措施,而且提高安全性的成本很低。一个普通编程人员利用现有的公开的技术,一天时间就能实现,而且不用客户更新信息。高炽扬认为,目前在网站用户口令处理方面,还没有一个明确的标准或规范,如何处理用户口令只能依赖网站开发者、运营者对安全常识的了解及自律,这也是造成现有问题的主因之一。
为了进一步提升网站对用户信息的保护,加强相关企业在技术和管理体系上对个人信息的保护力度,营造一个健康有序的互联网环境。中国软件评测中心依照《信息安全技术公共及商用服务信息系统个人信息保护指南》国家标准,将面向网站等相关企业提供《个人信息保护管理体系认证》服务。针对哪些企业需要进行个人信息保护管理体系的认证,高炽扬表示,个人信息保护对每个企业或组织来说都是需要的,所以个人信息保护管理体系认证具有普遍的适用性。目前,中国软件评测中心推出的认证服务主要针对个人信息泄露的重灾区——互联网企业。高炽扬说:“企业应该从风险评估、系统规划、风险管理和颁行推广四个方面建设企业个人保护管理体系。目前,中国软件评测中心已经开展了《个人信息保护管理体系认证》的相关业务。”
测评抽取了门户、邮箱、电子商务、招聘等9类100个网站进行测评,之所以选择这些网站,是因为这些网站浏览量大,用户多,个人真实信息也比较多。但测评结果发现,国内网站对用户口令的处理方式存在很大的差异,安全性方面问题十分突出。在此次评测选取的这100家网站中,竟然有85个网站可以直接拿到用户的口令原文,这些网站的处理模式大大增加了用户的安全风险。其中,招聘类、婚恋类、电子商务类网站的用户口令安全现状最差,门户类、游戏类、邮箱类网站的安全意识相对较高。
由于网站常采用邮箱做用户名,因此,对用户名的机密性保护也十分必要。而在所测的100个网站中,仅有3个网站对用户名做了简单的编码处理,其余网站均采用明文形态传输用户名,反映出绝大多数网站在用户名的机密性保护上面,没有相应的安全意识。
招聘、婚恋类网站包含大量个人真实信息,一旦裸奔将会导致用户个人隐私的泄露。而电子商务类网站相对来说对安全问题更加敏感,因为这里不仅有用户信息,还涉及用户财产安全。但实际测评中发现,电子商务网站在用户口令处理方面却很不专业,令人大跌眼睛。几乎没有一个网站采取了最安全的用户口令处理模式,甚至有4个网站没有采取任何安全措施,所有网站都可直接获取用户的原始口令。
据悉,网站对用户口令的处理应包括三个阶段,即用户在页面上输入口令后:客户端的页面控件、页面脚本对口令的处理;传输信道对口令的传输;服务器端对口令的存储和认证。此次对这100个网站的用户口令安全处理进行测评,目的是客观地反映互联网公共网站对于用户口令处理的现状和问题,以引起网民用户、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视。
北大互联网安全技术北京市重点实验室高级工程师龚晓锐认为,用户口令原文是用户重要的个人隐私信息,一旦不加以保护,就可能会对用户构成个人信息泄露的风险。“部分用户在不同网站注册账号时习惯采用相同的用户名和口令,一旦在某网站的口令被泄露,该用户在其他网站上的数据也可能会遭到一定程度的‘连带式泄露’。”
中国软件评测中心副主任高炽扬说,其实提高这些网站的用户口令安全是一个常规性的安全保护措施,而且提高安全性的成本很低。一个普通编程人员利用现有的公开的技术,一天时间就能实现,而且不用客户更新信息。高炽扬认为,目前在网站用户口令处理方面,还没有一个明确的标准或规范,如何处理用户口令只能依赖网站开发者、运营者对安全常识的了解及自律,这也是造成现有问题的主因之一。
为了进一步提升网站对用户信息的保护,加强相关企业在技术和管理体系上对个人信息的保护力度,营造一个健康有序的互联网环境。中国软件评测中心依照《信息安全技术公共及商用服务信息系统个人信息保护指南》国家标准,将面向网站等相关企业提供《个人信息保护管理体系认证》服务。针对哪些企业需要进行个人信息保护管理体系的认证,高炽扬表示,个人信息保护对每个企业或组织来说都是需要的,所以个人信息保护管理体系认证具有普遍的适用性。目前,中国软件评测中心推出的认证服务主要针对个人信息泄露的重灾区——互联网企业。高炽扬说:“企业应该从风险评估、系统规划、风险管理和颁行推广四个方面建设企业个人保护管理体系。目前,中国软件评测中心已经开展了《个人信息保护管理体系认证》的相关业务。”