本篇文章815字,读完约2分钟
《新京报》近日报道,由中国软件(600536)评估中心和北京大学网络安全技术北京重点实验室联合发布的《网站用户密码处理安全性外部评估报告》显示,在100个入选网站中,大部分网站对用户密码处理的安全性不了解,59个网站没有采取任何安全措施,使用户密码处于“裸奔”状态。
调查显示85%的网站可以看到原始用户密码
该报告选择了9个类别的100个网站,如门户、电子邮件、电子商务、招聘等。,并发现只有8个网站采取了足够的安全措施来处理用户密码,而59个网站没有采取任何安全措施。此外,100家网站中有85家直接获得了用户的原始密码,其中招聘、婚姻和电子商务网站的密码安全状况最差。
北京大学网络安全技术北京重点实验室高级工程师龚认为,原始用户密码是用户的重要个人隐私信息,给用户带来了很大的个人信息泄露风险。“有些用户习惯于在不同网站注册帐户时使用相同的用户名和密码。一旦一个网站的密码泄露,其他网站的数据也会在一定程度上泄露。”
没有处理用户密码的明确标准
中国软件测试中心副主任高赤阳表示,事实上,提高这些网站用户的密码安全性是一项常规的安全保护措施,提高安全性的成本非常低。一个普通的程序员可以通过使用现有的公共技术在一天内实现它,而不需要客户更新信息。
高志阳认为,目前对于网站用户密码的处理还没有明确的标准或规范。如何处理网站用户的密码只能依靠网站开发者和运营商对安全知识的理解和自律,这也是存在问题的主要原因之一。
■调查描述
精选网站:共选择了门户、电子邮件、电子商务、招聘、婚姻和爱情、游戏、论坛、博客和微博等9个类别的100个网站。选择这些网站是因为它们拥有大量的页面浏览量、更多的用户和更真实的个人信息。
结果:门户、电子邮件、游戏等成熟网站相对较好,而电子商务、招聘和婚姻网站的用户密码安全状况最差。本次调查共选取了12个电子商务网站、15个招聘网站和10个婚姻网站,这些网站的密码都是以“原文”的形式传递的。
