分享

谁来保障我们的账号安全?

 黎明小子 2012-01-16
  QQ聊天、论坛发帖、网上购物、银行转账……这些都需要密码,甚至已成为许多人生活的一部分。但是,设了密码也不代表安全。无论是网站还是用户,都得想办法提高黑客获取数据成本才行。

  “80%以上的互联网公司都存在着漏洞。”说这句话的,正是深陷“泄密”泥潭的中国软件开发联盟(CSDN)董事长蒋涛。在1月11日召开的媒体见面会上,他透露:“平时我们注册的网站账户、密码,其中有80%可以被破解。”

  去年年底,我国遭遇了史上最大规模的互联网用户信息泄露事件,揭开事件序幕的,就是CSDN的600万用户信息泄露。随后,天涯论坛被传4000多万用户密码被盗,当当网1200万全字段用户资料遭到泄露,支付宝也被爆出用户泄漏总量达1500~2500万……而猫扑、多玩、人人等多个知名互联网企业均难逃其难,波及互联网用户多达过亿人次。

  ■数据库被“窃”是主因

  黑客横扫互联网,用户更改密码忙。“你的密码被盗了吗”一时成为网络流行语,“今年,你改密码了吗?”也成为不少人的QQ签名。那么,密码为何能轻易被盗?我们输入的密码,又被网站“放”在何地?

  资深网络安全顾问张百川告诉记者,用户输入密码后,通常都会要求你“提交”,而这个步骤,其实就把密码传到了网站后台的服务器上,并保存到数据库里。网站有专门的人员来管理数据库。因此,黑客要窃取用户密码,最直接的就是想办法入侵数据库,而数据库管理员的任务,就是设置各种防护措施,防止黑客入侵。

  此次“泄密门”,就是多家网站的数据库被黑客攻陷,大量用户的注册信息,包括邮箱、用户名、密码被盗取,并被传播到互联网上。“所以,有一个经验丰富的数据库管理员,对网站来说是非常重要的,如果管理员不重视业务,很容易被黑客钻空子。”张百川说。

  另外,数据库并非一定是靠技术手段偷走的,网站内部也许出了“内鬼”,直接将数据库拷贝走。前不久,陕西某电信企业1400万手机用户资料被泄露,就是员工利用工作之便进入数据库,盗取了信息。而为牟取暴利,一大学职员伙同网络公司“内鬼”擅自修改游戏数据库,然后大肆复制游戏装备在网上出售,从中获利百万元。

  ■部分网站为省事将风险转嫁用户

  数据库被攻击或被偷走的风险无法完全避免,对此,网站并不是就没有办法应对了。

  在此次事件中,CSDN、天涯以及许多网站泄露的数据库,保存的都是明文密码。“所谓明文密码,就是你输入的是什么密码,数据库保存的就是什么密码。”张百川说,打个比方,你输入的密码是123456,那么数据库保存的就是123456。“黑客一旦成功入侵数据库,用户密码一览无余,毫无安全性可言。”

  正因为明文密码的安全系数低,据业内人士透露,从2003年开始,一些网站陆续改成了加密密码。张百川告诉记者,现在用的较多是MD5加密,简单来说,就是无论你输入的是什么密码,比如123或456,最后在数据库里显示的都是一个16位或32位的字符串。在这种情况下,连管理员也不知道原来的密码是什么,即使黑客打开了数据库,要想破解密码也要费一番功夫。

  据媒体报道,一直到2009年4月,CSDN的程序员才改成加密密码,但部分老的明文密码没有被清理。

  在张百川看来,网站不加强安全性,除了意识不强、资金投入的问题以外,由于网站升级密码的保存方式也存在风险,一些网站为了避免给自己带来麻烦不做修改,结果把风险转嫁到用户身上。

  “我自己做网站的时候,也遇到过这样的情况。MD5加密最开始的时候用的是16位字符,后来升级32位字符时,不知是转换程序还是其他问题,结果登录不进去,必须人工储存密码,这个量很大。”张百川说。

  ■提高黑客获取数据成本是关键

  网站即使使用了加密密码,也并不意味着万事大吉。网上有很多专门破解MD5加密的网站,业内人士透露,破解一个8位纯数字的密码不超过10分钟,即使密码是10位数以下“数字+字母+特殊字符”的组合,一天的时间就能够破解出来。

  张百川说,对于用户来说,虽然没有绝对安全的密码,但是设置一个相对复杂的密码,安全性就越高。“黑客破解密码也是要投入的,包括资金、技术和时间的投入。越复杂的密码,投入得也越多,如果投入过大,不能获取到足够的资源和利益,黑客自然也会放弃。”

  此次“泄密门”无论对网站、政府还是用户而言,无疑敲响了警钟。尽管目前已有两名“CSDN泄密门”的涉案黑客被抓,但仍有大量我们看不见的黑客潜伏于各个网站,网站的安全状况不容乐观。

  国家计算机网络入侵防范中心主任冯登国认为,对于政府而言,要赶快考虑出台一部真正的信息安全法出台。否则碰到相关网络安全的案件时,想要进行制裁都没有法律依据。

  “黑客让我们防不胜防,他们也在不断改进技术,新的风险和隐患始终存在。”上海理工大学光电信息与计算机工程学院教授陈家琪说,对于网站而言,一定要加强防御黑客对网络安全侵蚀的意识。世界上没有绝对的安全系统,不要以为选择一款合适的操作系统,每次借助自动更新就万事大吉了,要有专门的人员对网络安全进行管理。在美国等一些发达国家,他们会培训专业人才来保护网络。

  蒋涛对媒体表示,CSDN目前正申请信息系统等级保护,主动配合信息安全监管部门的监督管理。同时,将网站核心服务与非核心业务隔离,以强化网站核心服务安全,减小系统安全风险。“CSDN会采取相关措施,提高黑客获取数据成本,降低数据对黑客的吸引力,建立安全审核机制,尽量避免内部泄露数据的可能。”

  ■文/吴洣麓


              原载2012年1月16日《北京青年报》C4版

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 全屏 打印 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多