近日，中国软件评测中心和北京大学互联网安全技术北京市重点实验室联合发布的《网站用户口令处理安全性外部测评报告》显示，国内网站对于用户口令处理的安全意识十分薄弱。在抽取的100个网站中，59个网站没有采取任何安全措施，而近85%的网站可以看到用户密码原文。

　　对此，国内企业邮箱第一品牌——263企业邮箱产品经理、国内知名安全与产品交互专家张晓丹表示，所谓的明文密码，则是未将用户的登录名与密码做任何加密处理。黑客通过登录漏洞或攻击其服务器便可以直接看到用户的登录名与密码，安全性极低。尤其是不少用户都是采用同一密码、同一邮箱作为登录账号，一旦泄露，其他网站登录安全也会受到牵连。

　　去年CSDN网站用户密码遭到大规模泄露的事件一经爆发，便引发了人们的热切关注。此后，对于明文密码的讨伐声不绝于耳。“目前整体情况仍不容乐观。”张晓丹表示。

　　据了解，此次调研共抽取了门户网站、邮箱、电子商务招聘类、婚恋类、游戏类、论坛、博客、微博共9大类网站。最终结果显示，门户网站、游戏类以及邮箱类的网站安全意识较高，而电子商务、招聘类、婚恋类网站的用户口令安全现状最差。

　　“邮箱作为信息的传送带，很可能传送一些较为隐秘或者敏感的内容，尤其是企业邮箱，一旦密码遭到泄露，很可能就会对公司造成不可挽回的损失。因此邮箱运营商对于登录口令的安全意识较高。”张晓丹表示。

　　以263企业邮箱为例，不仅仅采用了MD5不可逆加密算法，避免了用户账号、密码裸奔的尴尬局面。更增加了IPS（入侵防御系统），IPS系统能够自动筛查用户的登录行为，一旦发现暴力破解等非常规登录行为，可随即终止该IP的登录行为，保证用户账号安全。除此之外，263企业邮箱还采用了内外网分离技术，即便不法分子侵入，但由于存放有用户隐私的信息存放在难以攻破的内网中，其盗取信息的难度大大增加。

　　张晓丹还表示，“目前，国内对于互联网用户口令安全并没有颁布十分明确的法律规范，一切行为都需要互联网企业自律。网站管理者提升安全意识，才能保护用户的信息，赢得用户的信赖。”文/互联网新闻--www.lgo100.com)

　　推荐阅读

　　软博会盛大召开 263企业通信高调亮相

5月31日，2012第十六届中国国际软件博览会已正式拉开帷幕。本届软博会以做大做强软件产业，服务经济转型升级为主题，充分体现了自主技术、促进交易、网络互动的三大特色，展示了近年来我国软件产业政策落实情况和发展>>>详细阅读

本文标题：网站用户口令安全薄弱成盗号重灾区

地址：http://www.lgo100.com/a/mail/20120608/66386.html

 1/2    1  2 下一页