電子商務中密碼安全性研究

西安政治學院 鄒捷

2011年底，一場密碼泄露的風暴席卷了互聯網，以知名程序員網站CSDN的600萬用戶賬號密碼以明碼方式泄露開始，天涯、多玩、人人網等多家大網站的用戶密碼也被傳到網上，給中國廣大的互聯網用戶帶來了極大的震動。“城門失火殃及池魚”，由于大量用戶習慣使用相同的密碼登錄各種網站，盡管密碼事件涉及的網站以論壇、社交網為主，威脅最大的卻是一些重要的網站，如微博、郵箱，特別是電子商務網站。本文就這場危機中暴露出的密碼安全性問題進行了研究。

1 電子商務中密碼的重要性

電子商務是一種利用互聯網，交易雙方不謀面地完成各種交易活動的新型商業運營模式。由于電子商務具有交易不見面、依托互聯網、涉及到真實金額等特點，歷來都是破解攻擊者的最愛，因此可靠的、安全的交易是電子商務的前提和基礎。為了保障電子商務的安全，采用了基于數據加密技術的報文摘要、數字簽名、數字證書及安全交易協議等一系列手段，實現了電子商務交易中信息的保密性、完整性、不可抵賴性和身份的確定性。但是，在整個安全保障體系中，無法取代的是密碼這一“古老”的安全手段。密碼既是最基本的安全措施，也是最重要的安全措施。當前各大主流電子商務網站，只要有賬號和密碼，就可以登錄進入網站，查看歷史的交易記錄，輕易了解和修改用戶資料，甚至可以進行冒名交易、轉賬或提現等。可見，密碼是電子商務安全中至關重要的一個環節。但是，密碼的設置、管理，依賴個人的信息安全意識和操作水平。由于電子商務的用戶群巨大，信息素養水平參差不齊，大量的用戶的密碼存在安全隱患，使密碼問題成為當前電子商務安全的“短板”。

2 當前密碼管理的問題

2.1 密碼安全性不足

很多人為了方便記憶，使用比較簡單的數字或者字母組合來設置密碼，這些密碼容易被人猜測到或者被破解工具破解，往往被稱為“弱口令”(weak password)。美國密碼管理應用提供商SplashData總結發布了2011年度最差的25個密碼的榜單，password排名第一，后面依次包括123456、12345678、qwerty、abc123、monkey、1234567、letmein等密碼。這些密碼多為鍵盤上的臨近鍵組合或常見單詞，毫無疑問都是非常危險的。

在密碼事件中，網上流傳著很多網站的用戶密碼庫的打包文件，里面有海量的賬戶密碼信息，經驗證其中的某些賬戶仍然可以使用。通過對其中一個知名社交網站的密碼庫進行分析，發現中國的網絡用戶在弱口令的設置上的與國外相比不相上下，同時也有自己的一些特點。在總共2275351個密碼樣本中，按重復次數排名前十的密碼分別是：123456、123456789、0、111111、12345、5201314、123123、123、12345678、1314520。其中，第一名的123456共有107564人使用。與美國的常用弱口令相比，中國用戶明顯喜歡用數字，排名最高的字母弱口令是第15名的woaini，被2014人使用。對密碼庫進行進一步的分析，發現弱口令主要有以下幾類：

第一類弱口令是非常容易記憶的密碼，包括有：(1)有規律的數字串，如123456、111111等。(2)鍵盤上的相鄰按鍵，如zxcvbnm、asdasd、qazwsx、qwerty、159753等。(3)數字諧音，如5201314、1314520等。(4)簡單的拼音，如woaini、woaini1314、ILOVEYOU等。

第二類是日期型密碼，往往以個人或家人的生日或重要紀念日為密碼。分析數據時，僅僅按照年月日的模式在樣本庫中查找，就匹配了159129個密碼，占總數的6.99%。

第三類是以電話號碼為密碼。在所有樣本中，僅以手機號碼為密碼的就有39977個，占了1.75%。使用座機號碼或者部分手機號碼的情況，則就更多了。

2.2 密碼管理不當

互聯網上的內容豐富，郵箱、論壇、博客、社交網等網站數不勝數，每個人可能都會有自己喜好的網站。如何管理好眾多不同網站的賬號和密碼，也是事關安全的重要問題。出于方便記憶的原因，很多人習慣使用同一個賬號名和密碼來注冊不同的網站。這樣做的風險在于：即使密碼自身的強度再強，但如果注冊的某一個網站不可信或因安全性不足被攻破，導致密碼泄露的話，那么，其他所有的使用該密碼的網站都變得不再安全了。

2.3 網站安全性不足

除了用戶的問題，一些網站由于自身技術實力、管理水平的不足，也存在極大風險。表現為兩個方面：一是密碼用明碼的方式保存，為了開發、調試程序的方便，對于用戶密碼不加密就保存在數據庫中，使這些機密信息隨時都有暴露的危險。二是服務器的管理不完善，安全防護水平低，易被黑客入侵，將用戶信息竊走。

3 當前電子商務面臨的主要威脅

3.1 拖庫

拖庫是指數據庫程序員將數據庫中的數據導出的行為，也被黑客們特指為成功入侵服務器后，將數據庫中用戶信息導出的行為。和常規的掛馬、釣魚等安全威脅手段不同，拖庫的目標不再是每個用戶的個體，而是服務器。一旦服務器被攻破，那么所有的賬號和密碼就全部被得到了。可見，黑客攻擊后進行拖庫的危害更甚于其他的方式。

3.2 結合字典的暴力破解

暴力破解即窮舉法破解，是一種針對于密碼的破譯方法，即將密碼進行逐個推算直到找出真正的密碼為止。暴力破解成功率與構成密碼的字符集的范圍密切相關。被大量用戶喜歡的純數字密碼，由于字符集只有10個數字，所以對暴力破解而言是最快被破解的密碼。字符集一般分為數字、小寫字母、大寫字母、符號等不同的種類，設置密碼時，使用的字符類別種類越多、長度越長，密碼就越安全，越不容易被暴力破解。哪怕向純數字密碼中加入一個字母，由于字符集變為字母加數字，共36個字符，那么暴力破解的時間將大大增加，被暴力破解的可能性就降低了很多。

為了縮短試誤時間，有人將常用的、可能被使用的密碼組成一個密碼字典，使用字典來縮小密碼組合的范圍。通過密碼事件或者其他途徑得到的密碼庫，完全可能被黑客用于構造密碼字典，大量的簡單重復密碼可以直接被加入字典。同時，對于日期密碼也可以根據可能的時間范圍和時間格式，構造出一個有限的字典。這樣的密碼字典，將能夠非常有效地提高破解密碼的成功率。

3.3 社會工程學攻擊

社會工程學(Social Engineering)是一種黑客手段，通過對受害者心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱進行諸如欺騙、傷害等危害手段，取得自身利益。社會工程學攻擊的最大特點是不以日益完善的信息系統為攻擊目標，而以信息系統的使用者——人作為攻擊對象。相對于機器或者軟件而言，人存在著更多的弱點，因而社會工程學攻擊是非常有效的。近年來利用社會工程學手段，突破信息安全防御措施的事件，已經呈現出上升甚至泛濫的趨勢。社會工程學攻擊者在攻擊前會盡量搜集、挖掘被攻擊者的全面的個人信息，如生日、電話、住址、愛好、郵箱、QQ號、職業、常去網站、親屬朋友情況等。利用這些信息，按照密碼設置的一些習慣進行組合，從而生成字典進行破解。對很多喜歡用一些個人私有信息如生日、電話號碼、家人信息等來設置密碼的人而言，一旦被社會工程學攻擊，個人信息被掌握后，密碼也就暴露無遺了。

4 結語

隨著電子商務的日益普及，密碼的安全性問題越來越成為一個影響到電子商務安全的重要風險。只有提高全民的信息安全意識，加強網站的安全防范水平，才能從根本上解決這一問題。

[1]楊天宇.電子商務概論[M].復旦大學出版社,2006.

[2]Atul Kahate.密碼學與網絡安全[M].邱仲潘等譯.北京:清華大學出版社,2005.