专家称普通嗅探工具便可盗取网站登录密码
家住上海的李女士上周六京东商城账号被盗,经查询,对方正在疯狂地用她的积分购物。“我3月份刚刚注册一个新账号,才买了几次家电,竟然就被人盗了,实在太可怕了!”李女士并不知道,她的口令早已处于危险之中。5月29日,工业和信息化部计算机与微电子发展研究中心(中国软件测评中心)等部门发布的《网站用户口令处理安全性外部测评报告》(以下简称《报告》)指出,在100个样本网站中,淘宝、京东、携程、世纪佳缘等85个网站可在服务器端获取用户口令原文,仅8家网站采取了最安全的用户口令传输模式。
电商招聘类网站全军覆没
2011年底,CSDN、天涯社区、猫扑等网站因为明文密码存储而被“刷库”, 超过5000万个用户账号和密码在网上公开扩散。各大网站都加强了数据存储的安全措施。然而,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录网站,输入用户名和密码之后,从用户电脑传输到网站服务器,会经过口令传输、口令存储认证等过程。而《报告》中显示,大部分样本网站在传输口令时,没有做加密处理。其中,12家电子商务网、15家招聘网、10家婚恋网站采用了最不安全的“原始口令明文传输”,对口令没有采取任何技术手段加密。
《报告》主要负责人之一、中国软件评测中心信息安全研究部副总经理刘陶告诉《IT时报》记者,这次测评采用了一款客户端分析软件,通过在网站上模拟注册用户名和口令,模拟用户点击,监听浏览器内部页面与服务器的交互过程,对交互中的数据包进行自动匹配,就能了解用户名、口令是否以明文形态被传输,“这个方法通过自身模拟注册和匹配度来评测,不会影响到他人用户名和密码。”
原始口令明文传输比数据库明文密码存储隐患更大。上海电信技术专家周学明告诉记者,用户名和密码通过管道到达网站服务器,如果运营商铺设的管道安全,尚可抵御外部攻击;如果用户本身所在的网络是不安全的,比如在私人建设的WiFi网络中,处在同一网段内的黑客,就可以通过简单的网络嗅探或企业间谍等工具获取用户密码信息。即便用户密码设得再复杂,也是形同虚设。”
部分网站承认存在漏洞
针对《报告》内容,《IT时报》记者随机采访了几家被点名的网站。淘宝开发团队表示,淘宝在用户口令传输处理上确有一定的缺陷。他们已在新版本安全控件的开发中考虑这个问题,随着新版本安全控件的发布,将会修复这个缺陷,实现高级别的加密传输模式。
京东商城也表示,将加强口令传输过程中的安全措施。恋爱网站珍爱网的公关部门向记者说,珍爱网采用的是明文传输,但如果采用加密方式,可能会导致部分用户不能正常登录。
周学明说,采用加密传输方式,确实会造成一些网站登录复杂。正如网上银行支付那样,既要下载控件,输入用户名、密码,又要获取动态密码等等,还有可能影响网页打开速度,但是保密效果较好。
“口令‘裸奔'并不是技术上的问题。”刘陶说,网站对用户口令安全性进行维护其实不难,一个普通的编程人员就能基本搞定,之所以出现各种疏漏,可能还是网站安全意识不够。“而对于用户来说,用一个密码‘包打天下'是非常危险的。李女士的密码泄露很可能是因为她在诸多网站用的都是同一个密码,一旦被盗,全盘皆露。因此消费者在各种网站不仅要设置不同的密码,还要经常更换密码。”
口令加密方式无明确规范
面对《报告》中提到许多网站进行口令明文传输的情况,许多网友提出质疑,“如果因为这种情况口令被泄,个人信息被盗或者造成经济损失的话,网站是否有责任?”上海瑞富律师事务所副主任陈刚说,用户用注册口令登录网站,相当于双方之间的一种合同履行方式。如果信息被黑客攻取,黑客当承担第一责任,网站应承担连带责任。然而在实际情况中,对于口令传输加密手段却没有明文规定。
“在口令传输中,有些网站采取普通的加密方式,有些网站甚至不加密,没有具体标准,用户遇到了密码被窃事件,很难向这些网站提出维权。”陈刚说。
网络安全专家李铁军介绍,其实业内在口令处理方面只有一些常识性原则,但是国内目前还没有相关机构和组织,将上述零散的原则整理成为规范文档。
“目前在网站用户口令处理方面,没有一个明确的标准或规范,如何处理用户口令这一私密性很强的用户个人信息,只能依赖网站开发者、运营者对安全常识的了解和自律性。标准的制定和明确将是个人信息保护工作中需要大力推进的方向。”李铁军表示。
科技热点资讯
[滚动] 中国电信八大产品基地将陆续独立 (06-11 09:51)
[滚动] 8个城市全面实现公交卡一卡通互联互通 (06-11 09:48)
[滚动] 高通招揽中小企业博弈低端智能机市场 (06-11 09:34)
[滚动] 山寨电池“寄生”品牌厂商 产品识别码照样伪造 (06-11 09:27)
[滚动] 废弃电器电子产品处理基金即将开征 (06-11 09:22)
[滚动] 消费者担忧节能家电补贴提价后再优惠 (06-11 09:19)
[滚动] 腾讯控股的易迅网私自篡改用户订单 (06-11 09:14)
[滚动] 苹果计划主导用户家庭中所有显示屏 (06-11 09:13)
[滚动] 松下:白电已逆转AV家电成业务主角 (06-11 09:09)
[滚动] 上海商派旗下代理商产品“店掌柜”忽悠敛财 (06-11 08:59)
[滚动] 评论:“随意打”蔓延是个危险信号 (06-11 08:54)
[滚动] 专家称普通嗅探工具便可盗取网站登录密码 (06-11 08:52)
[滚动] 记者调查微电影行业现状:已出现两极分化 (06-11 08:40)
[滚动] 节能补贴有望拉动4500亿元家电需求 (06-11 08:27)
[滚动] IPv6商用迫在眉睫 (06-11 08:21)
[滚动] 新型手机店该怎么活 (06-11 08:10)
[滚动] PE界惊羡360倍回报早期投资案 (06-11 08:07)
[滚动] 上海杉德金卡持续亏损 一PE拟甩卖股权 (06-11 08:05)
[滚动] PE期待新三板扩容 (06-11 07:59)
[滚动] 调研显示近7成LP看好未来5年中国市场 (06-11 07:57)
[滚动] 天津空壳PE寻高科技企业接手 (06-11 07:55)
[滚动] 辜胜阻:PE/VC行业进入深度调整期 (06-11 07:50)
[滚动] 中兴通讯公司债启动发行 (06-11 07:49)
[滚动] 未来最智能的应用推荐引擎 (06-11 07:14)
[滚动] 广州交警开始严查开车打手机:罚100元扣2分 (06-11 07:12)
[滚动] 间谍病毒“火焰”近期现身网络 (06-11 07:07)
[滚动] 天威视讯拟整合深圳有线网络 (06-11 07:01)
[滚动] 钱袋宝孙江涛:公司成立四年有望今年盈利 (06-11 06:55)
[滚动] 京东冲刺IPO 难成中国亚马逊 (06-11 06:53)
[滚动] 评论:IT教父们的私有化 (06-11 06:48)
[滚动] 中国互联网地图服务网站日均UV前三名 (06-11 06:45)
[滚动] 锂电材料供应商贝特瑞上市无望 11家PE深度被套 (06-11 06:44)
[滚动] 格力电器董事选举:耶鲁鹏华联手战胜大股东 (06-11 06:40)
[滚动] 华为与中兴卷入阿尔及利亚腐败案 被禁竞标两年 (06-11 06:28)
[滚动] 用户:图片社交魅于赞赏吐槽 (06-11 06:22)
[滚动] 戈壁投资童玮亮:图片应用未来或是从工具到云端 (06-11 06:21)
[滚动] 光速创投宓群:更看好图片应用从工具型切入 (06-11 06:14)
[滚动] 魔图:人像“美容”杀手锏 (06-11 06:06)
[滚动] Camera360:坚持无社区 (06-11 06:05)
[滚动] 脚印:“150定律”私密社交 (06-11 06:03)
相关文章
赞助商推广链接
文章随机推荐
- Netflix用户数量超越HBO:借《纸牌屋》逆转
- 阅后即焚应用Snapchat将融资1亿美元 估值5亿
- 晚报:那些因业绩不佳而辞职的CEO们
- 雅虎第二季度净利润2.27亿美元 同比降4%
- Skype服务再次宕机 用户指责微软和盖茨
- 国家邮政局提醒部分城市快递收投或出现延时
- 报告称360搜索平均市场占有率升逾15%
- 《财富》发布2012年增长最快百家公司 网易入选
- 谷歌收购开源家庭影院和DVR软件开发商SageTV
- 掌趣科技解禁首日现百万股大宗交易
- 李彦宏:百度员工数两年翻番超1.5万
- 余额宝带来的创新启示:碎片化金融是未来方向
- PayPal每日转账金额达3.153亿美元
- 盛大“知本”经:敲门社交游戏 发力移动互联网
- 浦发银行推出微信银行打造“微理财”新理念