近日,中國軟件評測中心和北京大學互聯網安全技術北京市重點實驗室聯合發布的《網站用戶口令處理安全性外部測評報告》顯示,在抽取的100個網站中,大多數的網站對用戶口令處理的安全意識不夠,有59個網站沒有采取任何安全措施,使得用戶的密碼處於“裸奔”狀態。
85%網站可看密碼原文
報告抽取了門戶、郵箱、電子商務、招聘等9類100個網站進行測評,測評發現,僅有8個網站采取了充分的安全措施對用戶口令做處理,有59個網站沒有采取任何的安全措施。另外,在這100家網站中有85個網站直接拿到了用戶的口令原文,其中,招聘類、婚戀類、電子商務類網站的用戶口令安全現狀最差。
北大互聯網安全技術北京市重點實驗室高級工程師龔曉銳認為,用戶口令原文是用戶重要的個人隱私信息,這對用戶構成很大的個人信息洩露風險。“部分用戶在不同網站注冊賬號時習慣采用相同用戶名和口令,一旦在某網站的口令被洩露,在其他網站的數據也會遭到一定程度的”連帶式洩露“。
處理密碼無明確規范
中國軟件評測中心副主任高熾揚說,提高用戶口令安全是一個常規性的安全保護措施,而且提高安全性的成本很低。一個普通編程人員利用現有的公開技術,一天時間就能實現,而且還不用客戶更新信息。
高熾揚認為,目前在網站的用戶口令處理方面,還沒有一個明確的標准或規范。如何處理用戶口令,只能依賴網站開發者、運營者對安全常識的了解及自律,這也是造成現有問題的主因之一。
調查說明
選取網站:共抽取門戶、郵箱、電子商務、招聘類、婚戀類、游戲類、論壇、博客、微博共9大類100個網站。之所以選擇這些網站,是因為這些網站浏覽量大、用戶多,個人真實信息也較多。
結果:門戶、郵箱、游戲類網站相對較好,電子商務、招聘類、婚戀類網站的用戶口令安全現狀最差。調查共抽取12個電子商務類、15個招聘類、10個婚戀類網站,這些網站口令的傳輸形態均為“原文”。