“你的個(gè)人信息安全嗎?”網(wǎng)絡(luò)社會(huì)中的個(gè)人信息安全性一直是大家關(guān)注的熱點(diǎn)。然而一項(xiàng)調(diào)查報(bào)告顯示:抽樣的100個(gè)流行網(wǎng)站中,僅有8個(gè)網(wǎng)站對(duì)用戶口令(即密碼)采取了充分的安全措施,有59個(gè)網(wǎng)站沒有采取任何安全措施,即網(wǎng)民所說的“裸奔”狀態(tài)。更有85個(gè)網(wǎng)站直接拿到了用戶的口令原文,明顯侵犯用戶隱私權(quán)。
5月29日,中國軟件評(píng)測中心聯(lián)合北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評(píng)報(bào)告》指出:國內(nèi)網(wǎng)站對(duì)用戶口令的處理方式存在很大差異,安全問題十分突出。大多網(wǎng)站對(duì)用戶口令管理的安全問題重視不夠,僅僅關(guān)注可用性方面,對(duì)于保密性方面的關(guān)注度不夠。
今年1月,中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的數(shù)據(jù)顯示,截至2011年底,中國網(wǎng)民規(guī)模達(dá)5.13億,網(wǎng)站域名達(dá)到775萬。作為網(wǎng)站普遍采用的一種認(rèn)證方式——“用戶名+口令”是網(wǎng)站允許用戶進(jìn)行個(gè)人信息訪問、操作的一道重要關(guān)卡。用戶口令的機(jī)密性是網(wǎng)站保護(hù)用戶個(gè)人信息的重要環(huán)節(jié)。然而,2011年底的CSDN“泄密門”等事件使得大量用戶口令以明文形式被泄露,暴露出一些大型網(wǎng)站的開發(fā)/運(yùn)營者在用戶口令處理方面安全意識(shí)薄弱。
此次調(diào)查從獨(dú)立的第三方角度進(jìn)行,共抽取了電子商務(wù)、招聘類、婚戀類、游戲類、論壇、博客等9大類100個(gè)網(wǎng)站,對(duì)其進(jìn)行用戶口令處理安全性測評(píng)。北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室高級(jí)工程師龔曉銳說:“通過測評(píng)發(fā)現(xiàn),不同類型的網(wǎng)站對(duì)用戶口令處理的安全意識(shí)不一樣,招聘類、婚戀類網(wǎng)站的安全意識(shí)相對(duì)最薄弱,門戶類、游戲類、郵箱類網(wǎng)站的安全意識(shí)相對(duì)較好。”
調(diào)查選取了中華英才、智聯(lián)招聘、前程無憂等15家招聘類網(wǎng)站,紅娘、珍愛、知音婚戀等10家婚戀類網(wǎng)站。測評(píng)顯示,這25家網(wǎng)站普遍沒有將用戶口令進(jìn)行形態(tài)變化的安全意識(shí),并且沒有使用加密信道的安全意識(shí),這種不做任何操作的處理模式將用戶口令直接暴露在傳輸過程以及服務(wù)器。
對(duì)于涉及網(wǎng)民經(jīng)濟(jì)利益、本應(yīng)該有很高安全意識(shí)的商務(wù)類網(wǎng)站,測評(píng)結(jié)果也讓人“大跌眼鏡”。攜程、京東、淘寶等12家電子商務(wù)類網(wǎng)站中,沒有一個(gè)網(wǎng)站采取了最安全的用戶口令處理模式,甚至有4個(gè)網(wǎng)站沒有采取任何安全措施,所有網(wǎng)站都直接獲取了用戶的原始口令。
龔曉銳告訴記者:“網(wǎng)站對(duì)用戶口令安全性進(jìn)行維護(hù)其實(shí)很簡單,一個(gè)普通的編程人員,一兩天的時(shí)間就能基本搞定。”之所以出現(xiàn)這些問題,主要原因在于“目前在網(wǎng)站用戶口令處理方面,還沒有一個(gè)明確的標(biāo)準(zhǔn)或規(guī)范,如何處理用戶口令這一私密性很強(qiáng)的用戶個(gè)人信息,只能依賴網(wǎng)站開發(fā)者、運(yùn)營者對(duì)安全常識(shí)的了解以及自律性。”中國軟件評(píng)測中心副主任高熾揚(yáng)說,我國首個(gè)網(wǎng)站個(gè)人信息保護(hù)規(guī)范《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個(gè)人信息保護(hù)指南》,已于去年年底在國家標(biāo)準(zhǔn)委網(wǎng)站上結(jié)束公示,正式進(jìn)入到國家標(biāo)準(zhǔn)報(bào)批環(huán)節(jié)。
龔曉銳表示,希望調(diào)查結(jié)果能夠引起網(wǎng)民、網(wǎng)站開發(fā)者、網(wǎng)站運(yùn)營者、政府主管部門等對(duì)于用戶口令處理安全性的重視,加強(qiáng)個(gè)人信息保護(hù),營造一個(gè)健康有序的互聯(lián)網(wǎng)環(huán)境。(新華網(wǎng))