数字身份的重要性日益凸显,然而互联网的安全性却没有成正比提高,频发的泄密危机拷问着中国的互联网安全,但相关立法却迟迟无进展。
近日,中国软件评测中心和北京大学互联网安全技术北京市重点实验室联合发布的《网站用户口令处理安全性外部测评报告》显示,在抽取的100个网站中,大多数网站对用户口令处理的安全意识不够,有59个网站没有采取任何安全措施,使得用户的密码处于“裸奔”状态。
调查 85%网站可看用户密码原文
报告抽取了门户、邮箱、电子商务、招聘等9类100个网站进行测评,测评发现,仅有8个网站采取了充分的安全措施对用户口令做处理,有59个网站没有采取任何安全措施。另外,在这100家网站中有85个网站直接拿到了用户的口令原文,其中,招聘类、婚恋类、电子商务类网站的用户口令安全现状最差。
“今天你改密码了吗?”成为了当下最为流行的问候语。
不少网民在微博上坦露心声,自己不止一家网站的用户名与密码泄露。出于方便易记,许多网民将用户名与密码统一起来,或者互相关联。有的使用邮箱进行互相关联。
中国软件评测中心副主任高炽扬说,其实提高这些网站的用户口令安全是一个常规性的安全保护措施,而且提高安全性的成本很低。一个普通编程人员利用现有的公开的技术,一天的时间就能实现,而且还不用客户更新信息。
高炽扬认为,目前在网站用户口令处理方面,还没有一个明确的标准或规范,如何处理用户口令只能依赖网站开发者、运营者对安全常识的了解及自律,这也是造成现有问题的主因之一。
选取网站:共抽取门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站。之所以选择这些网站,是因为这些网站浏览量大,用户多,个人真实信息也比较多。
结果:门户、邮箱、游戏类等成熟运营的网站相对较好,电子商务、招聘类、婚恋类网站的用户口令安全现状最差。调查中,共抽取12个电子商务类、15个招聘类、10个婚恋类网站,这些网站口令的传输形态均为“原文”。
专家们呼吁,由工信部门和公安部门牵头,成立专门的调查组,针对本次事件进行调查,并公布调查结果。他们同时建议,针对用户资料和个人隐私,政府应尽快建立法律法规进行规范,以维护个人权益。
只有腾讯、阿里巴巴、百度有10位专职安全工程师,安全防护能力较强。其他的互联网上市公司也只有3位至5位专职工程师,有的甚至没有。”一位互联网公司的工程师告诉法治周末记者,在互联网企业有5位安全工程师,都算是豪华阵容,相当奢侈。
本站所有行业文章内容均转载自互联网,如不慎侵权,请告知,我们将尽快删除