人工智能

用户口令安全现隐患 安全保护评测堵漏洞

作者:王彦华来源:中国电子报,电子信息产业网发布时间:2012-05-29 16:03我要评论



记者获悉,“1号店”内的90万名用户信息,包括手机、地址、邮箱等资料,以500元标价出售,。而日前中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布的针对网站用户口令处理的安全性测评报告显示,国内网站对用户口令的处理方式存在很大的差异,在安全性方面问题十分突出,100个流行网站中,仅有8个网站采取了充分的安全措施,有59个网站没有采取任何安全措施,更有85个网站直接拿到了用户的口令原文,明显侵犯用户隐私权,网络安全再次敲响警钟


用户口令藏危机 个人信息有隐患


为了提升各相关网站对个人信息保护技术和管理水平,中国软件评测中心宣布依照《信息安全技术
公共及商用服务信息系统个人信息保护指南》国家标准,为相关企业开展《个人信息保护管理体系认证》服务,旨在通过各方面努力,加强个人信息保护,营造一个健康有序的互联网环境。


2011年底的CSDN“泄密门”等事件使得大量用户口令以明文形式被泄露,暴露出一些大型网站的开发/运营者在用户口令处理方面安全意识薄弱。并且,部分互联网用户在不同网站注册账号时习惯采用相同的用户名和口令,因此一旦用户在某网站的口令被泄漏,他在其他网站上的数据也会遭到一定程度的“连带式泄漏”:黑客可以利用该口令尝试登录其他网站,一旦登录成功,便可以以受害用户的身份在网站进行信息读取和操作,黑客甚至可以直接用这些口令成功登录用户的网上银行。因此,保证用户口令的机密性,不单单需要一些大型网站增强用户口令处理的安全意识,更需要所有互联网公共网站对用户口令安全地进行处理。


此次,中国软件评测中心、北京大学互联网安全技术北京市重点实验室联合发布的《网站用户口令处理安全性外部测评报告》指出,国内网站对用户口令的处理方式存在很大的差异,在安全性方面问题十分突出,此次评测选取的100个流行网站中,仅有8个网站采取了充分的安全措施,有59个网站没有采取任何安全措施,更有85个网站直接拿到了用户的口令原文,明显侵犯用户隐私权。


中国软件评测中心与北京大学互联网安全技术北京市重点实验室抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站,对其用户口令的安全处理进行了测评。目的是客观地反映互联网公共网站对于用户口令处理的现状和问题,以引起网民用户、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视。


本次测评从独立第三方角度进行,未通知被测网站或邀请网站参加,采用的是基于客户端分析的外部测评方法,测评工作不涉及服务器内部存储方式,而是对客户端处理口令、通信信道传输口令这两个阶段的安全性进行测评。按照本次设定的测评标准,将网站的安全性归类为原始口令明文传输、原始口令编码传输、原始口令加密传输、口令散列值明文传输、口令散列值密文传输等不同安全级别。为便于用户理解,将这5个等级分别对应于5个星级,来表示不同用户口令处理方式的安全性。


通过对100个网站进行测试,显示仅有8个网站采用了最安全的用户口令处理模式;过半数的网站没有采用任何安全措施,安全性最差;除了15个站点在客户端使用hash处理用户口令,其余85个网站均能在服务器端直接或经过解密后获取用户口令原文。招聘类、婚恋类网站的安全意识最薄弱,门户类、游戏类、邮箱类网站的安全意识相对较高。


电子商务类网站相对来说对安全问题更加敏感,但实际测评中发现,电子商务网站在用户口令处理方面却很不专业,令人大跌眼睛,没有一个网站采取了最安全的用户口令处理模式,甚至有4个网站没有采取任何安全措施,所有网站都直接获取了用户的原始口令。


通过对9种类型中的100个网站进行测评发现,网站的开发者、运营者在用户口令处理的策略上有很大差异,大多数网站对用户口令处理的安全意识不够。100个网站中,仅有8个网站采取了充分的安全措施对用户口令做处理,有59个网站没有采取任何安全措施,使得用户口令直接暴露在传输网络以及服务器端,即网民所说的裸奔状态。更有85个网站直接拿到了用户的口令原文,这种做法是明显侵犯用户隐私权的,尤其是用户经常在不同站点重用口令的现状下,这些网站的处理模式大大增加了用户的安全风险。


另外,不同类型的网站对用户口令处理的安全意识不一样:招聘类、婚恋类网站的安全意识相对最薄弱,门户类、游戏类、邮箱类、电子商务类网站的安全意识相对较好。大多网站对用户口令管理的安全问题重视不够,仅仅关注可用性方面,对于保密性方面的关注度不够。建议网站使用“口令hash+加密信道”的“口令散列值加密传输”模式,一方面可以对抗黑客嗅探通信包并进行口令破解,另一方面防止企业间谍在服务器端直接获取用户口令原文。此外,建议在对口令进行hash处理的时候,加入salt,以增大黑客破解口令hash值的难度。


目前在网站用户口令处理方面,还没有一个明确的标准或规范,如何处理用户口令这一私密性很强的用户个人信息,只能依赖网站开发者、运营者对安全常识的了解以及自律性,这也是造成上述问题的主要原因之一。


倡导行业自律 制定国家标准


2008年,中国软件评测中心在工业和信息化部的指导下开始开展信息服务业个人信息保护规范研究工作。2008年10月,中国软件评测中心在接到任务之后,立即开展调研工作,拟定了《个人信息保护规范》及《信息服务业个人信息保护应用测评指标》,并于2009年5月27日在北京组织召开了“《个人信息保护规范》及《信息服务业应用测评指标》专家研讨会”,对两项内容进行了专家评审。


2009年9月11日至9月22日,中国软件评测中心按照《个人信息保护规范》的精神,依据其基本原则及主要内容,制定了《网站个人信息保护测评指标体系》,并根据该指标体系测评涉及的网站包括电子商务、招聘、婚恋、游戏四个类型18家网站,第一次将理论用于应用,并根据实际操作过程中遇到的实际问题对相关内容进行了完善;2010年5月11日,工信部召开了《个人信息保护规范》企业座谈会,会议结束后,对该次会议上企业提出的建议进行了总结,将《个人信息保护规范》更名为《个人信息保护指南》。


2011年1月20日,《个人信息保护指南》征求意见行业和专家座谈会的召开,标志着个人信息保护国家标准正式制定工作的展开;在2011年9月23日,召开的标准(征求意见稿)专家评审会上,讨论修改标准名称为《信息安全技术
公共及商用服务信息系统个人信息保护指南》,并同意按专家意见修改后作为国家标准的送审稿;2011年12月8日,《信息安全技术
公共及商用服务信息系统个人信息保护指南》通过全国信息安全标准化技术委员会专家表决。


2011年12月31日,在信息安全标准委员会的指导下由中国软件评测中心牵头制定的我国第一项“个人信息保护”专项国家标准——《信息安全技术
公共及商用服务信息系统个人信息保护指南》,在全国信息安全标准化技术委员会网站公示结束,通过主任办公会表决,送递国家标准化管理委员会,正式进入国家标准报批环节。


《信息安全技术
公共及商用服务信息系统个人信息保护指南》对信息系统个人信息处理过程各个阶段所涉及的行为提出了明确的规范和要求,适用于除了政府机关等行使公共管理职能以外的各类组织和机构,特别如电信、医疗等涉及到我们个人敏感信息比较多的服务机构。


贯彻标准 开展个人信息保护管理体系认证


为了进一步提升网站对用户信息的保护,加强相关企业在技术和管理体系上对个人信息的保护力度,营造一个健康有序的互联网环境,中国软件评测中心依照《信息安全技术
公共及商用服务信息系统个人信息保护指南》国家标准,将面向网站等相关企业提供《个人信息保护管理体系认证》服务。


中国软件评测中心主任助理朱璇对《个人信息保护管理体系认证》作了详细的介绍。她说,该认证将为相关企业带来众多方面的优势,一是能够提高企业在公众心目中的形象和声誉,增强客户、合作伙伴等相关方的信任和信心,降低法律风险,减少法律纠纷,从而使企业保持良好的竞争力和成功运作的状态,最大限度的增加投资回报和商业机会;二是预防个人信息安全事故,保证组织业务的连续性,使组织的重要个人信息资产受到与其价值相符的保护;三是通过个人信息保护管理体系不仅可一定程度地避免安全事故而使组织节省费用,而且也能帮助组织合理筹划个人信息保护费用支出;四是通过宣贯个人信息保护知识和制定、执行规章制度,强化员工的个人信息保护意识,规范企业个人信息保护行为;五是与国际接轨,促进企业与境外企业组织的合作与交流。


针对哪些企业需要进行个人信息保护管理体系的认证,朱璇告诉记者,个人信息保护对每个企业或组织来说都是需要的,所以个人信息保护管理体系认证具有普遍的适用性,不受地域、产业类别和公司规模限制。主要涉及电信、保险、银行、数据处理中心、IC制造和软件外包等行业。目前,中国软件评测中心推出的认证服务主要针对个人信息泄露的重灾区----互联网企业。朱璇说:“企业应该从风险评估、系统规划、风险管理和颁行推广四个方面建设企业个人保护管理体系。目前,中国软件评测中心已经开展了《个人信息保护管理体系认证》的相关业务。”互联网企业获得此认证,需经过“企业申请、材料受理、文档审查、现场审核、结果公示、认证审批、证书颁布”七个主要环节,中国软件评测中心会对获得认证的企业进行定期审查,保证企业的个人信息保护可信度。


责任编辑:电子信息产业网
相关链接

首届全球IC企业家大会

12月11日,由工业和信息化部、上海市人民政府指导,中国半导体行业协会、中国电子信息产业发展研究院主办,北京赛迪会展有限公司、中国电子报社、上海市集成电路行业协会承办的“首届全球IC企业家大会暨第十六届中国国际...

2018世界VR产业大会

10月19日,2018世界VR产业大会在南昌盛大开幕。开幕式上,全国政协副主席卢展工宣读国家主席习近平贺信,工业和信息化部部长苗圩,江西省委书记刘奇,江西省委常委、南昌市委书记殷美根分别致辞。

第二届中国虚拟现实创新创业大赛启动...

8月20日,在中国创新创业大赛组委会办公室指导下,由虚拟现实产业联盟、国科创新创业投资有限公司共同举办的第二届中国虚拟现实创新创业大赛启动新闻发布会在北京举行。

2018年上半年家电网购分析报告发布会

8月2日,工业和信息化部赛迪研究院、中国电子报社在北京发布了《2018年上半年家电网购分析报告》(以下简称《家电网购报告》)。报告显示,2018年上半年,我国B2C家电网购市场(含移动终端)规模达2641亿元...

2018制造业“双创”高峰论坛

6月22日,2018制造业“双创”高峰论坛在北京举办。本次论坛由中国电子信息产业发展研究院、中国制造企业双创发展联盟和中国软件行业协会工业互联网分会主办,中国电子报社、北京云道智造科技有限公司和中国船舶工...

2018世界VR产业大会新闻发布会

5月21日,记者从在北京人民大会堂召开的2018世界VR产业大会新闻发布会上获悉,由工业和信息化部、江西省人民政府共同主办,中国电子信息产业发展研究院、江西省工业和信息化委员会、南昌市人民政府、虚拟现实产业...

数字经济前沿论坛-CITE2018第六届中国电...

为贯彻落实党的十九大精神,充分展示新一代信息技术产业最新发展成就,促进产业核心技术突破,加快形成数字经济新动能,引领信息技术产业供给侧改革,工业和信息化部、深圳市人民政府将于2018年4月9日-11日在深圳市共 ...

中国超高清视频(4K)产业发展大会

3月29日,中国超高清视频(4K)产业发展大会在广州市召开。大会由工业和信息化部、国家广播电视总局、广东省人民政府主办,广东省经济和信息化委员会、广东省新闻出版广电局、广东省通信管理局、广州市人民政府、中...

2019CES国际消费电子产品展报道

CES由美国电子消费品制造商协会(简称CEA)主办,CES每年一月在世界著名拉斯维加斯举办,CES是世界上最大、影响最为广泛的消费类电子技术年展,也是全球最大的消费技术产业盛会。...

2019年全国工业和信息化工作会议

今年中央经济工作会议,认真总结了一年来我国经济社会发展取得的成就和经验,深入分析了当前经济形势,全面部署了明年经济工作,提出要推动制造业高质量发展,坚定不移地建设制造强国。中央经济工作会议把推动制造业...

改革开放40年

40年的实践充分证明,党的十一届三中全会以来我们党团结带领全国各族人民开辟的中国特色社会主义道路、理论、制度、文化是完全正确的...

支持民营企业在行动

当前,国际经济复杂多变、新旧动能转换和政策措施落实差距等多种因素叠加,民营企业发展内外交困,“民营经济离场论”、“新公私合营论”等不当言论甚嚣尘上,导致部分民营企业发展缺乏定力和信心。习近平总书记“在...

中关村集成电路设计园开园暨第二届“芯动北京”中关村IC产业论坛

中关村集成电路设计园开园暨第二届“芯动北京”中关村IC产业论坛...

星河亮点副总裁王奥博:5G应用为测试厂商带来新机遇

今年可以认为是5G移动通信的元年、真正商用的元年,因为随着运营商中国移动、中国电信、中国联通扩大5G网络在更多城市的试用,5G各方面的产业成熟度也已经达到了可以...

普天技术副总裁杜涛:开拓物联网市场须在垂直行业二次学习

普天作为通信行业的一个老兵,为2018中国国际信息通信展带来了信息通信与网络安全、物联网、智慧社会等领域的众多自主创新成果。9月26日,在2018中国国际信息通...

第六届中国电子信息博览会开幕式暨数字经济前沿论坛

本次论坛主题是“智领新时代 慧享新生活”,将邀请政府行业主管部门、国内外著名专家学者、企业家发表主题演讲、对话或专题交流,深入探讨深化创新驱动战略、实施“中国制...

友情链接
关于我们 | 联系我们 | 广告服务
电子信息产业网LOGO