報告顯示國內網(wǎng)站用戶口令安全問題嚴重

2012年05月30日 14:25

中國軟件評測中心29日發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評報告》指出，國內網(wǎng)站對用戶口令的處理方式存在突出的安全問題。在抽樣調查的網(wǎng)站中，59%沒有采取任何安全措施。中國軟件評測中心副主任高熾揚建議盡快建立個人信息保護體系，加強網(wǎng)站對個人信息保護技術和管理水平。

中國軟件評測中心聯(lián)合北京大學互聯(lián)網(wǎng)安全技術北京市重點實驗室，抽取了門戶、郵箱、電子商務、招聘等9類100個網(wǎng)站，對其用戶口令處理進行安全性測評。

測評發(fā)現(xiàn)，大多數(shù)網(wǎng)站對用戶口令處理的安全意識不夠。100個網(wǎng)站中，僅有8個網(wǎng)站采取了充分的安全措施對用戶口令做處理，有59個網(wǎng)站沒有采取任何安全措施，使得用戶口令直接暴露在傳輸網(wǎng)絡以及服務器端，更有85個網(wǎng)站直接拿到了用戶的口令原文。

“部分用戶在不同網(wǎng)站注冊賬號時習慣采用相同的用戶名和口令，一旦在某網(wǎng)站的口令被泄露，在其他網(wǎng)站上的數(shù)據(jù)也遭到一定程度的‘連帶式泄漏’，極大增加安全風險?！北本┐髮W互聯(lián)網(wǎng)安全技術北京市重點實驗室高級工程師龔曉銳說。

報告顯示，不同類型的網(wǎng)站對用戶口令處理的安全意識不一樣，招聘類、婚戀類網(wǎng)站的安全意識最為薄弱。而被測評的電子商務類網(wǎng)站中，幾乎所有網(wǎng)站都直接獲取了用戶的原始口令。

“目前在網(wǎng)站用戶口令處理方面，還沒有一個明確的標準或規(guī)范，如何處理用戶口令只能依賴網(wǎng)站開發(fā)者、運營者對安全常識的了解及自律，這是造成上述問題的主要原因之一。”中國軟件評測中心副主任高熾揚說。

高熾揚建議，盡快建立個人信息保護體系，加強相關企業(yè)在技術和管理體系上對個人信息的保護力度，營造健康的互聯(lián)網(wǎng)環(huán)境。

同時，中國軟件評測中心將依據(jù)國家標準，面向網(wǎng)站等相關企業(yè)開展《個人信息保護管理體系認證》服務。

（編輯：Jesse）

聯(lián)系我們

郵編

100083

郵箱

ISC@isc.org.cn

地址

北京市海淀區(qū)學院路42號院
綜合部(黨群部)

010-57234929-1056

財務人事部

010-57234929-1112

宣傳部

010-57234929-1002、010-57234929-1003

網(wǎng)民權益保護部

010-57234929-1012

研究部(標準工作辦公室)

010-57234929-1039、010-57234929-1038

中國互聯(lián)網(wǎng)大會專班

18511857092
國際部

010-57234929-1128、010-57234929-1127

會員部

010-57234929-1120、1121、1122、1123、1125

監(jiān)管支撐部

010-57234929-1027

產(chǎn)業(yè)促進部

010-57234929-1032、 010-57234929-1059

創(chuàng)新發(fā)展與人才工作部

010-57234929-1052、010-57234929-1053

北京中互網(wǎng)來信息技術有限公司

13910986745