“安全問題”的安全問題

王朝陽　馮琦

摘 要：文章從網站設計者的角度分析了申請網絡賬號時需要設定“安全問題”這一保護措施的初衷，并且深入研究了“安全問題”涉及到的個人隱私信息。闡述了在互聯網技術高速發展下，網站被動泄密造成個人用戶信息安全受到危害的可能性，進而使用戶在金融和身心方面造成二次傷害的可能性。最后針對這一問題，從用戶的角度提出了主動防御的安全建議，能夠減少或避免較大的安全隱患。

關鍵詞：安全問題；信息安全；信息泄漏；安全隱患

引言

在申請QQ賬號、網易郵箱等網絡賬號的時候，網站通常建議用戶設置“安全問題”，以確保忘記密碼的情況下可以通過這些問題來找回自己“信息”。這些“安全問題”在很大程度上的確保證了賬號丟失后的找回，帶來了一定的“安全”，但同時卻也帶來了更大的安全隱患。

1 “安全問題”初衷與問題內容分析

“安全問題”主要是網絡社交等賬號提供商為確保用戶可以找回可能丟失的賬戶而設計的一些與用戶相關的問題。在實際應用中，騰訊、網易等服務提供者，通過“安全問題”的保護措施幫助龐大的用戶群找回了寶貴的信息資料，在這方面起到了重要作用。

通過統計分析發現，這些“安全問題”包含的內容，往往涉及到用戶的相關隱私信息。這些安全問題的內容包含：用戶父母的姓名、生日，用戶的工號、證件號、手機號以及用戶朋友姓名等隱私信息，在某些情況下有些網站（如騰訊、小米等，但并不強制）甚至需要提供用戶身份證號等信息。這樣設計的主要原因是這些內容用戶熟知且不需要額外記憶，相對于繁雜的賬戶密碼更難忘記，同時也使得賬戶更不容易丟失。

雖然在填寫“安全問題”時，并不要求用戶填寫真實的信息，但往往填寫虛假答案需要更多的額外記憶量。一旦丟失賬號并且忘記所填寫的答案，則幾乎完全不可能找回賬戶信息。因此，更多的人傾向于填寫真實有關隱私的答案。

2 隱患存在的可能性

以前很多人很少思考將隱私信息交給大型網站所帶來的安全隱患，總要一個好的夢想：大型網站的安全性一定很高，所用的技術也一定很先進；忽略了技術在不斷進步，昨天可能安全的東西，今天就會變得漏洞百出。

首先，時代在進步，互聯網技術在發展，沒有任何一家公司必定會一直在技術上遙遙領先。摩托羅拉、諾基亞等公司在幾年前如日中天，現在卻已經幾乎消失不見，最根本的原因是在相關技術領域已經不能處于領先水平，其地位被其他公司代替；而華為、中興、小米等手機公司卻好像突然強大，也是由于技術的進步。

其次，大型網站已多次發生安全事故，并非大公司就一定安全。較為著名的信息泄漏事件有：美國Apple公司發生的好萊塢女星私密照片泄漏事件（2014年9月，報道廣泛，涉及用戶10個以下）、中國12306網站大量退票事件（2014年12月，烏云網發布，涉及用戶十幾萬）、網易賬號大量泄漏事件（2015年9月，烏云網白帽子測試發布，涉及用戶約5億）。當然這樣的統計數據并非100%精確，也有可能是通過其他網站信息來進行推斷破解的，但可在一定程度上說明這些大公司確實存在一些安全漏洞。

最后，大型網站系統安全維護者存在對手“黑客”。網絡上存在一些喜歡對網絡安全進行分析并攻擊的人，他們稱為“黑客”，在技術方面并不輸給大型網絡公司的安全技術人員。

3 安全隱患的危害

個人信息的泄漏往往會帶來不同程度的危害，小到僅僅信息泄漏，達到危及金融賬戶安全，甚至危及個人性命安全，帶來的危害從小到大具體描述如下。

3.1 僅僅個人信息泄漏

這一類危害性最小，僅僅是泄漏了信息，并沒有來主動破壞用戶安全。并沒有帶來更大的危害，但這一類是其他幾種嚴重危害的基礎，嚴重的危害用戶的信息是通過對大量這類消息進行數據分析、檢索、判斷后得到的。

3.2 個人信息網絡曝光

這類危害主要是對明星、企業以及政府等相關人員危害較大。如各種“艷照門”類的“門”事件，會對所涉及個人造成嚴重的心理或生活的傷害；又如一些上市企業的關鍵技術人員的有些不良信息曝光，會影響公司股票投資等等。

3.3 銀行等金融賬戶被盜

主要是通過在其他網絡上泄漏的賬號和密碼與金融銀行類網站進行配對和比較，如果金融賬戶用戶名與密碼正好相同，則可以進入金融賬戶，將其內部資金轉賬或者消費。這一類危害最容易引起注意，對普通人們的危害較大，范圍也最廣。

3.4 個人生命安全受到威脅

主要是通過獲取個人信息中的住址、聯系方式，然后結合用戶在社區平臺（如人人網、QQ空間）上的照片，來進行行為習慣分析，最后達到危害人身安全的目的，這類對個人的危害性最大。

4 減少安全隱患的建議

對于由“安全問題”帶來的安全隱患，可以通過一些手段減小隱患，提高自己信息的安全度，具體的方式如下。

4.1 設計一套有關自己的安全信息

在這套安全信息里面，使用完全虛假的信息填充，要包含：自己的名字和生日、學號以及工號，最好朋友姓名，自己的所有學歷，故鄉和工作地址，父母姓名和生日等等。如果在一些網絡社交賬戶（非必需正確信息等的金融賬戶）中要求“安全問題”，通過這些設定好的虛假內容填寫。

4.2 最好不要將常用郵箱賬戶名作為金融類帳戶名

在支付寶、財付通等網絡金融賬戶中，通常將常用郵箱作為安全郵箱甚至登入名，這樣比較危險。常用的郵箱登入次數多，甚至與可能與很多其他網站賬戶綁定，當這些網站的出現安全隱患時，容易通過密碼聯想撞破金融賬戶密碼；更有甚者其密碼本來就一樣，危險則更大。

4.3 在對所有人公開的社交網絡空間盡量少放置個人照片等信息

在對所有人公開的社交網絡空間放置個人照片等信息容易讓別有用心的人通過圖片附帶文字或網絡評論獲取個人生活習慣、家庭學校住址等信息，這些信息會給壞人造成更多可乘之機。

5 結束語

在申請網絡帳號時設置的“安全問題”常包含用戶的隱私信息，并且即使是大型網站也有可能存在安全隱患問題。如果我們在設置這些“安全問題”的時候，應該通過一些措施來減少安全信息泄漏的可能性。文章對個人用戶提出的安全建議，能夠有效地保護個人隱私安全。