“你的個人信息安全嗎?”網(wǎng)絡(luò)社會中的個人信息安全性一直是大家關(guān)注的熱點。然而一項調(diào)查報告顯示:抽樣的100個流行網(wǎng)站中,僅有8個網(wǎng)站對用戶口令(即密碼)采取了充分的安全措施,有59個網(wǎng)站沒有采取任何安全措施,即網(wǎng)民所說的“裸奔”狀態(tài)。更有85個網(wǎng)站直接拿到了用戶的口令原文,明顯侵犯用戶隱私權(quán)。
5月29日,中國軟件評測中心聯(lián)合北京大學互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評報告》指出:國內(nèi)網(wǎng)站對用戶口令的處理方式存在很大差異,安全問題十分突出。大多網(wǎng)站對用戶口令管理的安全問題重視不夠,僅僅關(guān)注可用性方面,對于保密性方面的關(guān)注度不夠。
今年1月,中國互聯(lián)網(wǎng)絡(luò)信息中心發(fā)布的數(shù)據(jù)顯示,截至2011年底,中國網(wǎng)民規(guī)模達5.13億,網(wǎng)站域名達到775萬。作為網(wǎng)站普遍采用的一種認證方式——“用戶名+口令”是網(wǎng)站允許用戶進行個人信息訪問、操作的一道重要關(guān)卡。用戶口令的機密性是網(wǎng)站保護用戶個人信息的重要環(huán)節(jié)。然而,2011年底的CSDN“泄密門”等事件使得大量用戶口令以明文形式被泄露,暴露出一些大型網(wǎng)站的開發(fā)/運營者在用戶口令處理方面安全意識薄弱。
此次調(diào)查從獨立的第三方角度進行,共抽取了電子商務(wù)、招聘類、婚戀類、游戲類、論壇、博客等9大類100個網(wǎng)站,對其進行用戶口令處理安全性測評。北京大學互聯(lián)網(wǎng)安全技術(shù)北京市重點實驗室高級工程師龔曉銳說:“通過測評發(fā)現(xiàn),不同類型的網(wǎng)站對用戶口令處理的安全意識不一樣,招聘類、婚戀類網(wǎng)站的安全意識相對最薄弱,門戶類、游戲類、郵箱類網(wǎng)站的安全意識相對較好。”
調(diào)查選取了中華英才、智聯(lián)招聘、前程無憂等15家招聘類網(wǎng)站,紅娘、珍愛、知音婚戀等10家婚戀類網(wǎng)站。測評顯示,這25家網(wǎng)站普遍沒有將用戶口令進行形態(tài)變化的安全意識,并且沒有使用加密信道的安全意識,這種不做任何操作的處理模式將用戶口令直接暴露在傳輸過程以及服務(wù)器。
對于涉及網(wǎng)民經(jīng)濟利益、本應(yīng)該有很高安全意識的商務(wù)類網(wǎng)站,測評結(jié)果也讓人“大跌眼鏡”。攜程、京東、淘寶等12家電子商務(wù)類網(wǎng)站中,沒有一個網(wǎng)站采取了最安全的用戶口令處理模式,甚至有4個網(wǎng)站沒有采取任何安全措施,所有網(wǎng)站都直接獲取了用戶的原始口令。
龔曉銳告訴記者:“網(wǎng)站對用戶口令安全性進行維護其實很簡單,一個普通的編程人員,一兩天的時間就能基本搞定。”之所以出現(xiàn)這些問題,主要原因在于“目前在網(wǎng)站用戶口令處理方面,還沒有一個明確的標準或規(guī)范,如何處理用戶口令這一私密性很強的用戶個人信息,只能依賴網(wǎng)站開發(fā)者、運營者對安全常識的了解以及自律性。”中國軟件評測中心副主任高熾揚說,我國首個網(wǎng)站個人信息保護規(guī)范《信息安全技術(shù) 公共及商用服務(wù)信息系統(tǒng)個人信息保護指南》,已于去年年底在國家標準委網(wǎng)站上結(jié)束公示,正式進入到國家標準報批環(huán)節(jié)。
龔曉銳表示,希望調(diào)查結(jié)果能夠引起網(wǎng)民、網(wǎng)站開發(fā)者、網(wǎng)站運營者、政府主管部門等對于用戶口令處理安全性的重視,加強個人信息保護,營造一個健康有序的互聯(lián)網(wǎng)環(huán)境。(新華網(wǎng))