樂購網(wǎng)訊 信息時代,互聯(lián)網(wǎng)成為現(xiàn)代生活必不可少的一部分,網(wǎng)絡(luò)世界與真實(shí)生活緊密相連后,網(wǎng)絡(luò)實(shí)名制也成為一個不可忽略的議題。實(shí)名制要求用戶提供個人真實(shí)信息,當(dāng)越來越多的密碼、口令、身份證號、手機(jī)號、信用卡號、訪問記錄等數(shù)據(jù),必須暴露給網(wǎng)站時,網(wǎng)民個人信息安全的保障問題成為聚焦的核心。
個人信息安全保護(hù)要追根溯源找到解決辦法,必須得發(fā)現(xiàn)問題癥結(jié)所在,層出不窮的泄露事件暴露出網(wǎng)絡(luò)安全的多個“死穴”。
網(wǎng)站缺位:明文密碼只是“擺設(shè)”
回顧網(wǎng)絡(luò)實(shí)名制呼聲緣起的事件,國內(nèi)最大開發(fā)社區(qū)CSDN數(shù)據(jù)庫泄露事件堪稱史上最大規(guī)模。軟件工程師小高是CSDN的老用戶,去年底,黑客第一個公開600萬用戶的賬戶密碼后,他從網(wǎng)絡(luò)下載到了這個數(shù)據(jù)庫,從中找到了自己注冊的帳號密碼,并登陸CSDN進(jìn)行了密碼修改。
小高稱,密碼被泄露,究其原因,是因?yàn)橛脩裘艽a在提交給網(wǎng)站后,被明文放在數(shù)據(jù)庫中,而且數(shù)據(jù)庫也沒有進(jìn)行加密。“現(xiàn)在很多社交網(wǎng)站仍采用明文密碼,黑客攻破數(shù)據(jù)庫后,直接就可以看到密碼,如果采用密文,還必須先解密,相當(dāng)于多層防護(hù)。而且寫幾句代碼就能對一段字符加密,最常用的是MD5加密方式,是很難破解的。”
游俠安全網(wǎng)站長、首席信息安全官網(wǎng)創(chuàng)始人張百川(網(wǎng)路游俠)認(rèn)為,明文密碼不是最主要問題,關(guān)鍵在于業(yè)務(wù)系統(tǒng)存在漏洞。“就像你把錢放在桌子上,本身是沒問題的,但是你門沒關(guān)好,這就難說。其實(shí)還是網(wǎng)站管理方面的安全意識不夠,工作沒有做到位。”
張百川表示,網(wǎng)站必須加強(qiáng)數(shù)據(jù)庫防護(hù)措施,如防火墻、入侵檢測或入侵防御、數(shù)據(jù)庫審計(jì)、數(shù)據(jù)庫防護(hù)等。
用戶責(zé)任:網(wǎng)民個人信息安全意識淡薄
人人、貓撲也曾被爆口令泄露。公務(wù)員張峰在人人網(wǎng)上有自己的ID,同學(xué)發(fā)現(xiàn)他的賬號突然發(fā)了一對廣告,他得知后并沒在意,也沒有修改密碼,幾天后再登錄人人賬號,就發(fā)現(xiàn)登錄不上去了,至今仍未能找回賬號密碼。
“我無法否認(rèn)掉自己的責(zé)任,網(wǎng)絡(luò)上肯定會有漏洞,我們自己要更加注意,在察覺賬號被動的第一時間,我就應(yīng)該修改自己的密碼。”張峰說,QQ上也經(jīng)常有朋友發(fā)布奇怪信息,告訴他們后也未見更改密碼,有的直接換了QQ號。
據(jù)了解,很多網(wǎng)絡(luò)用戶為了省去麻煩,把所有的密碼都設(shè)置成一樣的,而且越簡單、好記越好。而CSDN董事長蔣濤說,在密碼泄露事件后,經(jīng)多次提醒,僅有30%用戶修改了密碼。由此可見,諸多網(wǎng)民對個人信息安全保護(hù)意識并不強(qiáng)烈。
制度混亂:網(wǎng)站安全機(jī)制五花八門
對于廣大用戶來說,個人信息被泄露后,權(quán)益無法得到保障才是關(guān)鍵問題。在索尼用戶個人資料泄密事件中,索尼承諾為所有泄密的美國用戶提供一項(xiàng)價(jià)值100萬美元的身份盜用保險(xiǎn),用于防止被竊取用戶信用卡和個人信息被濫用而造成損失。這種措施增加了用戶的安全保障,國內(nèi)很多企業(yè)已經(jīng)在這么做。
“騰訊QQ登錄采用令牌,騰訊游戲采用令牌,包括網(wǎng)易的將軍令,招商銀行、工商銀行等的USBKEY也都是安全措施。”張百川說,“這種安全機(jī)制很好,但是目前各大網(wǎng)站幾乎都是各行其道,互不兼容。我們外出的時候可以攜帶一兩個,甚至七八個KEY,但是再多就挺麻煩的,我期待有通用認(rèn)證的那一天。”
一位業(yè)內(nèi)人士稱,建立各種安全機(jī)制需要投入大量資金,在缺乏一個有效立法制度的情況下,互聯(lián)網(wǎng)企業(yè)并不愿花大量資金投入到網(wǎng)絡(luò)安全。張百川也表示,很多大網(wǎng)站并沒有安全防護(hù)措施,因?yàn)樗麄冋J(rèn)為網(wǎng)站服務(wù)是第一位的,安全并不重要,即使丟失隱私也不是自己的。
利益鏈條:個人信息成為倒賣籌碼
CSDN事件發(fā)生后,軟件工程師小高也曾利用技術(shù)手段窺探過數(shù)據(jù)庫里他人的信息,“我們自己寫了個小程序,把數(shù)據(jù)庫里的郵箱帳號及密碼,到新浪、網(wǎng)易、QQ郵箱進(jìn)行登錄匹配,600萬條數(shù)據(jù)中,能匹配上的大概有60萬條。”小高說,“我們也登錄他人郵箱也只是覺得好玩,但有些黑客會利用這些數(shù)據(jù)進(jìn)行買賣交易,比方說商家就能利用郵箱號給用戶發(fā)送廣告。”
在互聯(lián)網(wǎng)行業(yè),數(shù)據(jù)交易早已是公開的秘密,個人隱私保護(hù)從來不是單純的技術(shù)問題,而是成為利益籌碼被隨意倒賣,在很多黑客看來,數(shù)據(jù)庫是實(shí)現(xiàn)最大利益的途徑。
對此,張百川表示必須加強(qiáng)控制手段,一旦犯事,必須嚴(yán)懲。“我們的法規(guī)其實(shí)是有的,但我個人覺得還不夠嚴(yán)厲,我們必須加強(qiáng)控制手段,對待網(wǎng)絡(luò)違法犯罪行為絕不姑息,否則以后越來越無法無天。”
不管是微博實(shí)名制的出臺、快件實(shí)名制的試點(diǎn),網(wǎng)絡(luò)上關(guān)于實(shí)名制的議題從來沒有降溫過,網(wǎng)友討論的主題始終是對個人信息安全的擔(dān)憂。安全感的建立是在信任的基礎(chǔ)上,在制度推行之前,網(wǎng)站如何才能建立安全有效的保障機(jī)制、用戶的個人隱私保護(hù)意識,以及相關(guān)部門規(guī)章制度的建立,這些都是亟待解決的問題。(吳雪麗)
推薦閱讀
歐美科學(xué)家發(fā)現(xiàn)公鑰加密算法RSA存在安全漏洞
歐美科學(xué)家發(fā)現(xiàn)公鑰加密算法RSA存在安全漏洞>>>詳細(xì)閱讀
本文標(biāo)題:細(xì)數(shù)網(wǎng)絡(luò)個人信息安全的四大“死穴”
地址:http://www.oumuer.cn/a/11/20120216/31763.html
網(wǎng)友點(diǎn)評
精彩導(dǎo)讀
科技快報(bào)
品牌展示