跑步

网站登录口令裸奔电商招聘类网站全军覆没明

2019-10-09 03:09:42来源:励志吧0次阅读

站登录口令“裸奔”,电商招聘类站全军覆没 - 明文密码,密码安全

专家称普通嗅探工具便可盗取密码

家住上海的李女士上周六京东商城账号被盗,经查询,对方正在疯狂地用她的积分购物。“我3月份刚刚注册一个新账号,才买了几次家电,竟然就被人盗了,实在太可怕了

!”李女士并不知道

,她的口令早已处于危险之中。5月29日,工业和信息化部计算机与微电子发展研究中心(中国软件测评中心)等部门发布的《站用户口令处理安全性外部测评报告》(以下简称《报告》)指出,在100个样本站中,淘宝、京东、携程、世纪佳缘等85个站可在服务器端获取用户口令原文,仅8家站采取了最安全的用户口令传输模式。

电商招聘类站全军覆没

2011年底,CSDN、天涯社区、猫扑等站因为明文密码存储而被“刷库”,超过5000万个用户账号和密码在上公开扩散。各大站都加强了数据存储的安全措施。然而

,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录站,输入用户名和密码之后,从用户电脑传输到站服务器,会经过口令传输、口令存储认证等过程。而《报告》中显示,大部分样本站在传输口令时,没有做加密处理。其中,12家电子商务、15家招聘、10家婚恋站采用了最不安全的“原始口令明文传输”,对口令没有采取任何技术手段加密。

《报告》主要负责人之一、中国软件评测中心信息安全研究部副总经理刘陶告诉,这次测评采用了一款客户端分析软件,通过在站上模拟注册用户名和口令

,模拟用户点击,监听浏览器内部页面与服务器的交互过程,对交互中的数据包进行自动匹配,就能了解用户名、口令是否以明文形态被传输,“这个方法通过自身模拟注册和匹配度来评测,不会影响到他人用户名和密码。”

原始口令明文传输比数据库明文密码存储隐患更大。上海电信技术专家周学明告诉,用户名和密码通过管道到达站服务器,如果运营商铺设的管道安全,尚可抵御外部攻击;如果用户本身所在的络是不安全的,比如在私人建设的WiFi络中,处在同一段内的黑客,就可以通过简单的络嗅探或企业间谍等工具获取用户密码信息。即便用户密码设得再复杂,也是形同虚设。”

部分站承认存在漏洞

针对《报告》内容,随机采访了几家被点名的站。淘宝开发团队表示,淘宝在用户口令传输处理上确有一定的缺陷。他们已在新版本安全控件的开发中考虑这个问题,随着新版本安全控件的发布,将会修复这个缺陷,实现高级别的加密传输模式。

京东商城也表示,将加强口令传输过程中的安全措施。恋爱站珍爱的公关部门向说,珍爱采用的是明文传输,但如果采用加密方式,可能会导致部分用户不能正常登录。

周学明说,采用加密传输方式,确实会造成一些站登录复杂。正如上银行支付那样,既要下载控件,输入用户名、密码,又要获取动态密码等等,还有可能影响页打开速度,但是保密效果较好。

“口令‘裸奔’并不是技术上的问题。”刘陶说,站对用户口令安全性进行维护其实不难,一个普通的编程人员就能基本搞定,之所以出现各种疏漏,可能还是站安全意识不够。“而对于用户来说,用一个密码‘包打天下’是非常危险的。李女士的密码泄露很可能是因为她在诸多站用的都是同一个密码,一旦被盗,全盘皆露。因此消费者在各种站不仅要设置不同的密码,还要经常更换密码。”

口令加密方式无明确规范

面对《报告》中提到许多站进行口令明文传输的情况,许多友提出质疑

,“如果因为这种情况口令被泄,个人信息被盗或者造成经济损失的话,站是否有

?”上海瑞富律师事务所副主任陈刚说,用户用注册口令登录站,相当于双方之间的一种合同履行方式。如果信息被黑客攻取

,黑客当承担第一,站应承担连带。然而在实际情况中,对于口令传输加密手段却没有明文规定。

“在口令传输中,有些站采取普通的加密方式,有些站甚至不加密,没有具体标准,用户遇到了密码被窃事件,很难向这些站提出维权。”陈刚说。

络安全专家李铁军介绍,其实业内在口令处理方面只有一些常识性原则,但是国内目前还没有相关机构和组织,将上述零散的原则整理成为规范文档。

“目前在站用户口令处理方面,没有一个明确的标准或规范,如何处理用户口令这一私密性很强的用户个人信息,只能依赖站开发者、运营者对安全常识的了解和自律性。标准的制定和明确将是个人信息保护工作中需要大力推进的方向。”李铁军表示。

优惠券小程序
有赞微商城登入
微店铺官网
分享到: