八成網站登錄口令「裸身待縛」 電商招聘類全軍覆沒

專家稱普通嗅探工具便可盜取密碼

家住上海的李女士上週六京東商城帳號被盜，經查詢，對方正在瘋狂地用她的積分購物。 「我3月份剛剛註冊一個新帳號，才買了幾次家電，竟然就被人盜了，實在太可怕了！ 」李女士並不知道，她的口令早已處於危險之中。 5月29日，工業和資訊化部電腦與微電子發展研究中心(中國軟體測評中心)等部門發佈的《網站使用者口令處理安全性外部測評報告》(以下簡稱《報告》)指出，在100個樣本網站中，淘寶、京東、攜程、 世紀佳緣等85個網站可在伺服器端獲取使用者口令原文，僅8家網站採取了最安全的使用者口令傳輸模式。

電商招聘類網站全軍覆沒

2011年底，CSDN、天涯社區、貓撲等網站因為純文字密碼存儲而被「刷庫」， 超過5000萬個使用者帳號和密碼在網上公開擴散。 各大網站都加強了資料存儲的安全措施。 然而，在使用者口令傳輸過程中，仍然存在很多隱患。 一般而言，使用者在登錄網站，輸入使用者名和密碼之後，從使用者電腦傳輸到網站伺服器，會經過口令傳輸、口令存儲認證等過程。 而《報告》中顯示，大部分樣本網站在傳輸口令時，沒有做加密處理。 其中，12家電子商務網、15家招聘網、10家婚戀網站採用了最不安全的「原始口令明文傳輸」，對口令沒有採取任何技術手段加密。

《報告》主要負責人之一、中國軟體評測中心資訊安全研究部副總經理劉陶告訴《IT時報》記者，這次測評採用了一款用戶端分析軟體，通過在網站上類比註冊使用者名和口令，類比使用者點擊，監聽瀏覽器內部頁面與伺服器的交互過程， 對交互中的資料包進行自動匹配，就能瞭解使用者名、口令是否以明文形態被傳輸，「這個方法通過自身類比註冊和匹配度來評測，不會影響到他人使用者名和密碼。 」

原始口令明文傳輸比資料庫純文字密碼存儲隱患更大。 上海電信技術專家周學明告訴記者，使用者名和密碼通過管道到達網站伺服器，如果運營商鋪設的管道安全，尚可抵禦外部攻擊；如果使用者本身所在的網路是不安全的，比如在私人建設的WiFi網路中，處在同一網段內的駭客， 就可以通過簡單的網路嗅探或企業間諜等工具獲取使用者密碼資訊。 即便使用者密碼設得再複雜，也是形同虛設。 」

部分網站承認存在漏洞

針對《報告》內容，《IT時報》記者隨機採訪了幾家被點名的網站。 淘寶開發團隊表示，淘寶在使用者口令傳輸處理上確有一定的缺陷。 他們已在新版本安全控制項的開發中考慮這個問題，隨著新版本安全控制項的發佈，將會修復這個缺陷，實現高級別的加密傳輸模式。

京東商城也表示，將加強口令傳輸過程中的安全措施。 戀愛網站珍愛網的公關部門向記者說，珍愛網採用的是明文傳輸，但如果採用加密方式，可能會導致部分使用者不能正常登錄。

周學明說，採用加密傳輸方式，確實會造成一些網站登錄複雜。 正如網上銀行支付那樣，既要下載控制項，輸入使用者名、密碼，又要獲取動態密碼等等，還有可能影響網頁打開速度，但是保密效果較好。

「口令‘裸奔’並不是技術上的問題。 」劉陶說，網站對使用者口令安全性進行維護其實不難，一個普通的程式設計人員就能基本搞定，之所以出現各種疏漏，可能還是網站安全意識不夠。 「而對於使用者來說，用一個密碼‘包打天下’是非常危險的。 李女士的密碼洩露很可能是因為她在諸多網站用的都是同一個密碼，一旦被盜，全盤皆露。 因此消費者在各種網站不僅要設置不同的密碼，還要經常更換密碼。 」

口令加密方式無明確規範

面對《報告》中提到許多網站進行口令明文傳輸的情況，許多網友提出質疑，「如果因為這種情況口令被泄，個人資訊被盜或者造成經濟損失的話，網站是否有責任？ 」上海瑞富律師事務所副主任陳剛說，使用者用註冊口令登錄網站，相當於雙方之間的一種合同履行方式。 如果資訊被駭客攻取，駭客當承擔第一責任，網站應承擔連帶責任。 然而在實際情況中，對於口令傳輸加密手段卻沒有明文規定。

「在口令傳輸中，有些網站採取普通的加密方式，有些網站甚至不加密，沒有具體標準，使用者遇到了密碼被竊事件，很難向這些網站提出維權。 」陳剛說。

網路安全專家李鐵軍介紹，其實業內在口令處理方面只有一些常識性原則，但是國內目前還沒有相關機構和組織，將上述零散的原則整理成為規範文檔。

　　「目前在網站使用者口令處理方面，沒有一個明確的標準或規範，如何處理使用者口令這一私密性很強的使用者個人資訊，只能依賴網站開發者、運營者對安全常識的瞭解和自律性。 標準的制定和明確將是個人資訊保護工作中需要大力推進的方向。 」李鐵軍表示。