新闻源 财富源

2018年09月23日 星期天

财经 > 产经 > 正文

字号:  

谁动了我的密码? 加强网络安全意识刻不容缓

  

  

一场波及各大网站的“密码危机”正在互联网上蔓延……

  12月21日,有媒体报道,国内最大的程序员社区CSDN 遭黑客攻击,包括600多万个明文注册邮箱账号和密码的用户数据被泄露。25日夜间,天涯社区又被曝有4000万用户的密码信息被泄露。

  随后,“密码危机”持续发酵,又有多家网站卷入其中,被网友曝出大批量用户数据资料遭泄露。消息披露后,多家网站启动应急措施,提醒可能被波及的用户及时更改密码,以防个人信息数据丢失。

  数千万用户密码遭泄露

  事件发生当晚,CSDN网站在其官方网站上发出公开道歉信,证实了数据库泄露的消息,表示已报案并配合公安机关追查,并向用户公开致歉,并临时关闭网站用户登录,提醒“2010年9月之前的注册用户和没有修改过密码的用户,立即修改密码”,指出“已对本次泄露出来的所有用户账号进行了登录验证,对所有在2010年9月之后没有修改过密码的账号进行了锁定”。

  其实,这一波用户数据泄露事件并不是个案,接近年末,网络安全事件频频出现。上个月,大批MSN用户遭遇盗号,用户账号无法登录,或收到“MSN好友”突然发来的借钱消息,为其掏钱后才发现上当受骗。此外,众多网友反映自己的微博疑遭盗号,被频繁要求修改密码。

  据奇虎公司发布的《2011年上半年互联网安全报告》指出,黑客窃取网站数据库的危害已远远超过盗号木马,如果一家网站服务器被黑客攻破,成百上千万用户的常用邮箱和密码泄露后,可能导致网上支付等其他重要账号也一并失窃。

  针对愈演愈烈的网络安全事件,奇虎公司于近期发布红色安全警报称:鉴于目前已有超过5000万个用户账号和密码在网上公开扩散,特别是部分网民习惯为邮箱、微博、游戏、网上支付、购物等账号设置相同的密码,中国网民账号安全已经岌岌可危,呼吁广大网民尽快修改重要账号的密码。新浪微博也发布多条预警提醒用户注意账号安全:如果微博使用了和其他网站相同的登录邮箱和密码,建议尽快修改;如果密码过于简单,建议采用数字和字母组合方式以增强安全性。

  尽管接到提醒,部分网民却依然不买账:“一下午换了大部分登陆密码,还是不放心,再也不相信网站上所谓的‘安全’了。”

  “大规模的数据泄露会造成网民的恐惧,因为他们对数据泄露后带来的后果是不确定的。”北京邮电大学人文学院院长,互联网治理与法律研究中心主任李欲晓表示,“现阶段多种网络应用服务交叉融合,密码使用重复性较高,这在网络发展过程中属正常现象,而我们对安全登陆、安全防护的重视程度还远远不够。伴随着电子商务服务被网民广泛使用,这种安全风险会越来越大。”

  明文密码惹大祸

  一个程序员汇集的大本营直接被撬开大门“拖走”所有家当,根本原因是由于网站的数据库及软件系统存在安全漏洞,但是管理者却忽视漏洞风险,没有进行及时的修复,一旦被黑客探测到并加以利用,采用非常规手段提权,就可以直接窃取用户的核心数据库(安全术语为“拖库”),从而获取大量用户数据,造成严重的危害。

  CSDN网站采用明文密码方式储存用户信息是导致此次密码泄露事件的“罪魁祸首”。所谓明文密码,就是用户在注册账号时填写的个人信息以明文的方式储存下来,用户输入什么信息存下来就是这些信息,没有任何的保密措施。这意味着只要能打开数据库文件的人,即使不是IT技术高手,也能像查看记事本一样获取用户信息。采用明文密码是一种危险低端的储存方式,一旦黑客入侵服务器,数据就会全部泄露。而按照安全惯例,网站应该经常性地修复服务器漏洞并对数据库进行加密处理。但据安全专家介绍,现在很多中小网站仍在使用明文密码。

  除了网站本身安全防护方式的弊端,网民的安全意识也再一次被敲响警钟,很多用户自身没有安全意识,密码简单重复,不重视基本的安全性。有专家统计了这次公布的CSDN密码,结果显示有239万人的密码和别人存在重复,在所有密码中,123456789出镜率高居榜首,有23.5万人使用它作为密码。排名第二位的密码是12345678,使用它的人数也超过了20万。这样的密码相当于“大门”敞开毫无防备,黑客窃取此类信息不费吹灰之力,更为可怕的是很多网民为了方便记忆,所有网站账号的用户名和密码几乎一模一样,一旦某家网站的个人信息遭破解被泄露,其他网站的个人信息也就“不攻自破”,泄密事件的社会危害性不断扩大的原因也正是基于此。

  业内人事指出,此次事件还暴露出行业中存在的一些重要问题:软硬件的问题实际上制约着网络安全的发展,使用户数据处于未知的危险状态。中大型网站不注重硬件防护等级与隔离技术的提升,防火墙设备方面能省则省,导致硬件方面不能有效隔离,保障数据库的安全性。不注重口令技术的更新换代,旧有的加密技术很难对抗使用云计算的黑客,难以保障用户的安全。

  加强网络安全防范意识刻不容缓

  此次泄露事件导致网民人人自危,对于在网络时代个人隐私能否得到有效保护出现很多质疑。网民的账户安全究竟应该如何监管?网民又该作何防范?

  李欲晓表示,有关部门首先要加快完善立法,现有的法律规范层级不够,需要对网络个人信息保护作进一步的界定,明确用户、企业等相关方面的责任义务,有效保障信息安全。其次要加强监管,完善网络安全体系。网络上新业务发展很快,是将其纳入传统电信增值业务监管范畴,还是设立新的业务监管范畴?这些都需要有关部门明确。对于达到一定用户数量和服务开放性的网络服务商,要做到及时监测,其安全防护能力要符合一定的标准规范。此外,要建立充分的信息共享机制和事故通报机制。

  对于网络服务商来说,需要检查和修复网站数据库系统漏洞,完善服务系统,加强安全保护措施,提高安全层级,提供入侵监测,对用户数据加密存储,并考虑为用户提供更高强度的登录、认证方式。

  关于普通网友如何保护密码,奇虎360安全专家石晓虹博士建议,第一要对密码进行分级管理,常用的重要账号,如电子支付、邮箱、聊天工具、微博等,可单独设置密码并加强管理,密码要具备一定的复杂性,可采用数字、大小写字母、符号相互组合;第二要定期修改密码,可有效避免网站数据库泄露影响到自身账号;第三,工作邮箱不用于注册网络账号,以免密码泄露后危及企业信息安全。

  “除了个人作为,还可通过USB Key、安全芯片等工具进行登录时的身份认证,实现动态安全保护,但对普通网民来说,这需要付出一定的使用成本。”李欲晓说,“其实对于广大网民来说,最重要的是要加强防范意识,现在的黑客技术发展很快,破译能力很强,网络空间没有绝对的安全,要尽可能地控制个人信息在网上的保留与储存。”

  

  • 来源:光明日报 作者:张薇 魏晓虎
  • 编辑:谢凌宇

  • 股票名称 最新价 涨跌幅