家住上海的李女士上周六京东商城账号被盗,经查询,对方正在疯狂地用她的积分购物。“我3月份刚刚注册一个新账号,才买了几次家电,竟然就被人盗了,实在太可怕了!”李女士并不知道,她的口令早已处于危险之中。5月29日,工业和信息化部计算机与微电子发展研究中心(中国软件测评中心)等部门发布的《网站用户口令处理安全性外部测评报告》(以下简称《报告》指出,在100个样本网站中,淘宝、京东、携程、世纪佳缘等85个网站可在服务器端获取用户口令原文,仅8家网站采取了最安全的用户口令传输模式。
电商招聘类网站全军覆没
2011年底,CSDN 、天涯社区、猫扑等网站因为明文密码存储而被“刷库”,超过5000万个用户账号和密码在网上公开扩散。各大网站都加强了数据存储的安全措施。然而,在用户口令传输过程中,仍然存在很多隐患。一般而言,用户在登录网站,输入用户名和密码之后,从用户电脑传输到网站服务器,会经过口令传输、口令存储认证等过程。而《报告》中显示,大部分样本网站在传输口令时,没有做加密处理。其中,12家电子商务网、15家招聘网、10家婚恋网站采用了最不安全的“原始口令明文传输”,对口令没有采取任何技术手段加密。
《报告》主要负责人之一、中国软件评测中心信息安全研究部副总经理刘陶告诉《IT时报》记者,这次测评采用了一款客户端分析软件,通过在网站上模拟注册用户名和口令,模拟用户点击,监听浏览器内部页面与服务器的交互过程,对交互中的数据包进行自动匹配,就能了解用户名、口令是否以明文形态被传输,“这个方法通过自身模拟注册和匹配度来评测,不会影响到他人用户名和密码。”
原始口令明文传输比数据库明文密码存储隐患更大。上海电信技术专家周学明告诉记者,用户名和密码通过管道到达网站服务器,如果运营商铺设的管道安全,尚可抵御外部攻击;如果用户本身所在的网络是不安全的,比如在私人建设的WiFi网络中,处在同一网段内的黑客,就可以通过简单的网络嗅探或企业间谍等工具获取用户密码信息。即便用户密码设得再复杂,也是形同虚设。”
部分网站承认存在漏洞
针对《报告》内容,记者随机采访了几家被点名的网站。淘宝开发团队表示,淘宝在用户口令传输处理上确有一定的缺陷。他们已在新版本安全控件的开发中考虑这个问题,随着新版本安全控件的发布,将会修复这个缺陷,实现高级别的加密传输模式。 上一页1 2 下一页
推荐阅读
赵先生起诉称,他2011年在“窝窝团”网站团购了两盒“陈皮普洱茶”,网页介绍中称该产品有“健脾燥湿、美容抗衰老”等功效,但收到产品后,赵先生发现该产品只是普通的食品,并未获得国家保健食品的批号。赵先生认为>>>详细阅读
地址:http://www.lgo100.com/a/guandian/yejie/20111229/150788.html
网友点评
精彩导读
科技快报
品牌展示