中国软件评测中心联合北京大学互联网安全技术北京市重点实验室,近日发布了针对网站用户口令处理的安全性测评报告。此次测评涉及电子商务、招聘类、婚恋类、博客类等9种类型共100家网站。
测评结果显示,这100家网站中,仅有8家网站采取了充分的安全措施对用户口令做处理;近六成网站未采取任何安全措施,使得用户口令直接暴露在传输网络以及服务器端,即网民所说的“裸奔”状态;更有85个网站直接拿到了用户的口令原文。
近年来,随着互联网的发展,以电子商务、娱乐、购物、社交等为基础的各类公共网站已经融入到人们生活的各个角落。2011年年底的CSDN“泄密门”事件,大量用户口令以明文形式被泄露,引发全社会对个人信息安全保护的高度重视。
“其实早在‘泄密门’事件之前,个人信息安全隐患问题就普遍存在。越来越多的人开始担忧自己的隐私不能得以较好的保护。一方面,各种各样的网站给人们的生活带来了便利与精彩;另一方面,网站存储着大量和用户个人信息相关的应用数据,一旦泄露,就可能给用户带来经济、名誉等方面的损失。”中国软件评测中心副主任高炽扬说。
北京大学互联网安全技术北京市重点实验室高级工程师龚晓锐介绍,此次调研的结果再次表明,我国互联网站口令处理不规范是普遍现象,民众个人信息保护力度严重不足。“我国在网站用户口令处理方面缺乏相关标准或规范。不同类型的网站安全意识存在显著差异。”他说。
更让龚晓锐担忧的是,电子商务类网站本应对计算机技术掌握最为专业,由于直接涉及用户商业利益,网站安全系数理应更高。“然而,评测结果却显示,有部分网站未对用户口令安全做任何处理,直接将其暴露在传输过程中以及服务器端。”他说,“这种做法是明显侵犯用户隐私权的。”
据悉,鉴于电子商务网站对安全的敏感性,本次测评特别联系了目前国内用户量最大的电子商务网站——淘宝网开发团队参与调研。通过测评,该开发团队确认了在用户口令处理方面的缺陷,并表示已在新版本安全控件的开发中考虑到了这个问题,随着新版本安全控件的发布,将会修复这个缺陷。
“对用户口令采取较好的安全措施并不需要较大的成本,一般的工程人员一天就可以做到。”龚晓锐说。他认为国内大多数网站之所以没有对用户口令采取安全措施,是由于他们对用户口令处理的安全意识不够。
据了解,为了进一步提升网站对用户信息的保护,加强个人信息的保护力度,中国软件评测中心还将依照《信息安全技术公共及商用服务信息系统个人信息保护指南》国家标准,向网站等相关企业提供《个人信息保护管理体系认证》服务。高炽扬表示,《个人信息保护管理体系认证》将为相关企业带来众多方面的优势。“除了提高企业在公众心目中的形象,更重要的是,预防个人信息安全事故。除此之外,管理体系还能强化员工的个人信息保护意识,规范企业行为。”他说,“企业需要从风险评估、系统规划、风险管理和颁行推广四个方面建设企业个人保护管理体系。”
