“你的个人信息安全吗?”网络社会中的个人信息安全性一直是大家关注的热点。然而一项调查报告显示:抽样的100个流行网站中,仅有8个网站对用户口令(即密码)采取了充分的安全措施,有59个网站没有采取任何安全措施,即网民所说的“裸奔”状态。更有85个网站直接拿到了用户的口令原文,明显侵犯用户隐私权。
5月29日,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布的《网站用户口令处理安全性外部测评报告》指出:国内网站对用户口令的处理方式存在很大差异,安全问题十分突出。大多网站对用户口令管理的安全问题重视不够,仅仅关注可用性方面,对于保密性方面的关注度不够。
今年1月,中国互联网络信息中心发布的数据显示,截至2011年底,中国网民规模达5.13亿,网站域名达到775万。作为网站普遍采用的一种认证方式——“用户名+口令”是网站允许用户进行个人信息访问、操作的一道重要关卡。用户口令的机密性是网站保护用户个人信息的重要环节。然而,2011年底的CSDN“泄密门”等事件使得大量用户口令以明文形式被泄露,暴露出一些大型网站的开发/运营者在用户口令处理方面安全意识薄弱。
此次调查从独立的第三方角度进行,共抽取了电子商务、招聘类、婚恋类、游戏类、论坛、博客等9大类100个网站,对其进行用户口令处理安全性测评。北京大学互联网安全技术北京市重点实验室高级工程师龚晓锐说:“通过测评发现,不同类型的网站对用户口令处理的安全意识不一样,招聘类、婚恋类网站的安全意识相对最薄弱,门户类、游戏类、邮箱类网站的安全意识相对较好。”
调查选取了中华英才、智联招聘、前程无忧等15家招聘类网站,红娘、珍爱、知音婚恋等10家婚恋类网站。测评显示,这25家网站普遍没有将用户口令进行形态变化的安全意识,并且没有使用加密信道的安全意识,这种不做任何操作的处理模式将用户口令直接暴露在传输过程以及服务器。
对于涉及网民经济利益、本应该有很高安全意识的商务类网站,测评结果也让人“大跌眼镜”。携程、京东、淘宝等12家电子商务类网站中,没有一个网站采取了最安全的用户口令处理模式,甚至有4个网站没有采取任何安全措施,所有网站都直接获取了用户的原始口令。
龚晓锐告诉记者:“网站对用户口令安全性进行维护其实很简单,一个普通的编程人员,一两天的时间就能基本搞定。”之所以出现这些问题,主要原因在于“目前在网站用户口令处理方面,还没有一个明确的标准或规范,如何处理用户口令这一私密性很强的用户个人信息,只能依赖网站开发者、运营者对安全常识的了解以及自律性。”中国软件评测中心副主任高炽扬说,我国首个网站个人信息保护规范《信息安全技术 公共及商用服务信息系统个人信息保护指南》,已于去年年底在国家标准委网站上结束公示,正式进入到国家标准报批环节。
龚晓锐表示,希望调查结果能够引起网民、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视,加强个人信息保护,营造一个健康有序的互联网环境。(新华网)