電商、招聘類網站八成用戶密碼“裸奔”

日前，中國軟件評測中心、北京大學互聯網安全技術北京市重點實驗室聯合發布《網站用戶口令處理安全性外部測評報告》，報告顯示在其抽取的100個網站中，僅有8個網站采取了充分的安全措施，大多數網站對用戶口令處理的安全意識不夠，其中59個網站沒有采取任何安全措施，使得用戶的密碼處于“裸奔”狀態。

測評抽取了門戶、郵箱、電子商務、招聘等9類100個網站進行測評，之所以選擇這些網站，是因為這些網站瀏覽量大，用戶多，個人真實信息也比較多。但測評結果發現，國內網站對用戶口令的處理方式存在很大的差異，安全性方面問題十分突出。在此次評測選取的這100家網站中，竟然有85個網站可以直接拿到用戶的口令原文，這些網站的處理模式大大增加了用戶的安全風險。其中，招聘類、婚戀類、電子商務類網站的用戶口令安全現狀最差，門戶類、游戲類、郵箱類網站的安全意識相對較高。

由于網站常采用郵箱做用戶名，因此，對用戶名的機密性保護也十分必要。而在所測的100個網站中，僅有3個網站對用戶名做了簡單的編碼處理，其余網站均采用明文形態傳輸用戶名，反映出絕大多數網站在用戶名的機密性保護上面，沒有相應的安全意識。

招聘、婚戀類網站包含大量個人真實信息，一旦裸奔將會導致用戶個人隱私的泄露。而電子商務類網站相對來說對安全問題更加敏感，因為這里不僅有用戶信息，還涉及用戶財產安全。但實際測評中發現，電子商務網站在用戶口令處理方面卻很不專業，令人大跌眼睛。幾乎沒有一個網站采取了最安全的用戶口令處理模式，甚至有4個網站沒有采取任何安全措施，所有網站都可直接獲取用戶的原始口令。

據悉，網站對用戶口令的處理應包括三個階段，即用戶在頁面上輸入口令后：客戶端的頁面控件、頁面腳本對口令的處理；傳輸信道對口令的傳輸；服務器端對口令的存儲和認證。此次對這100個網站的用戶口令安全處理進行測評，目的是客觀地反映互聯網公共網站對于用戶口令處理的現狀和問題，以引起網民用戶、網站開發者、網站運營者、政府主管部門等對于用戶口令處理安全性的重視。

北大互聯網安全技術北京市重點實驗室高級工程師龔曉銳認為，用戶口令原文是用戶重要的個人隱私信息，一旦不加以保護，就可能會對用戶構成個人信息泄露的風險?！安糠钟脩粼诓煌W站注冊賬號時習慣采用相同的用戶名和口令，一旦在某網站的口令被泄露，該用戶在其他網站上的數據也可能會遭到一定程度的‘連帶式泄露’?！?/p>

中國軟件評測中心副主任高熾揚說，其實提高這些網站的用戶口令安全是一個常規性的安全保護措施，而且提高安全性的成本很低。一個普通編程人員利用現有的公開的技術，一天時間就能實現，而且不用客戶更新信息。高熾揚認為，目前在網站用戶口令處理方面，還沒有一個明確的標準或規范，如何處理用戶口令只能依賴網站開發者、運營者對安全常識的了解及自律，這也是造成現有問題的主因之一。

為了進一步提升網站對用戶信息的保護，加強相關企業在技術和管理體系上對個人信息的保護力度，營造一個健康有序的互聯網環境。中國軟件評測中心依照《信息安全技術公共及商用服務信息系統個人信息保護指南》國家標準，將面向網站等相關企業提供《個人信息保護管理體系認證》服務。針對哪些企業需要進行個人信息保護管理體系的認證，高熾揚表示，個人信息保護對每個企業或組織來說都是需要的，所以個人信息保護管理體系認證具有普遍的適用性。目前，中國軟件評測中心推出的認證服務主要針對個人信息泄露的重災區——互聯網企業。高熾揚說：“企業應該從風險評估、系統規劃、風險管理和頒行推廣四個方面建設企業個人保護管理體系。目前，中國軟件評測中心已經開展了《個人信息保護管理體系認證》的相關業務。”