专家称普通嗅探东西便可窃取密码

IT时报记者 尤歆飞

家住上海的李女士上周六京东商城账号被盗，经查询，对朴直在疯狂地用她的积分购物。“我3月份方才注册一个新账号，才买了几次家电，竟然就被人盗了，实在太可骇了!”李女士其实不知道，她的口令早已处于危险之中。5月29日，工业和信息化部计较机与微电子成长研究中心(中国软件测评中心)等部分发布的《网站用户口令措置平安性外部测评述说》(以下简称《述说》)指出，在100个样本网站中，淘宝、京东、携程、世纪佳缘等85个网站可在办事器端获得用户口令原文，仅8家网站采纳了最平安的用户口令传输模式。

电商招聘类网站全军覆没

2011年底，CSDN、天涯社区、猫扑等网站因为明文密码存储而被“刷库”， 逾越5000万个用户账号和密码在网上公开分散。各年夜网站都增强了数据存储的平安办法。然而，在用户口令传输过程中，仍然存在很多隐患。一般而言，用户在登录网站，输入用户名和密码之后，从用户电脑传输到网站办事器，会颠末口令传输、口令存储认证等过程。而《述说》中显示，年夜部分样本网站在传输口令时，没有做加密措置。其中，12家电子商务网、15家招聘网、10家婚恋网站采取了最不服安的“原始口令明文传输”，对口令没有采纳任何手艺手段加密。

《述说》主要负责人之一、中国软件评测中心信息平安研究部副总司理刘陶奉告《IT时报》记者，这次测评采取了一款客户端阐发软件，通过在网站上模拟注册用户名和口令，模拟用户点击，监听阅读器内部页面与办事器的交互过程，对交互中的数据包进行自动匹配，就可以体会用户名、口令是否以明文形态被传输，“这个别例通过自身模拟注册和匹配度来评测，不会影响到他人用户名和密码。”

原始口令明文传输比数据库明文密码存储隐患更年夜。上海电信手艺专家周学明奉告记者，用户名和密码通过管道达到网站办事器，如果运营商铺设的管道平安，尚可抵抗外部抨击打击;如果用户自己所在的网络是不服安的，比如在私人扶植的WiFi网络中，处在同一网段内的黑客，便可以通过简单的网络嗅探或企业特务等东西获得用户密码信息。即便用户密码设得再复杂，也是形同虚设。”

部分网站认可存在缝隙

针对《述说》内容，《IT时报》记者随机采访了几家被点名的网站。淘宝开辟团队暗示，淘宝在用户口令传输措置上确有一定的缺陷。他们已在新版本平安控件的开辟中斟酌这个问题，随着新版本平安控件的发布，将会修复这个缺陷，实现高级别的加密传输模式。

京东商城也暗示，将增强口令传输过程中的平安办法。爱情网站珍爱网的公关部分向记者说，珍爱网采取的是明文传输，但如果采取加密体例，可能会致使部分用户不克不及正常登录。

周学明说，采取加密传输体例，确实会造成一些网站登录复杂。正如网上银行支付那样，既要下载控件，输入用户名、密码，又要获得动态密码等等，还有可能影响网页打开速度，可是保密效果较好。

“口令‘裸奔’其实不是手艺上的问题。”刘陶说，网站对用户口令平安性进行维护其实不难，一个普通的编程人员就可以根基弄定，之所以呈现各类疏漏，可能仍是网站平安意识不敷。“而对用户来讲，用一个密码‘包打天下’是很是危险的。李女士的密码泄露很多是因为她在诸多网站用的都是同一个密码，一旦被盗，全盘皆露。因此消费者在各类网站不但要设置不合的密码，还要常常改换密码。”

口令加密体例无明确规范

面对《述说》中提到许多网站进行口令明文传输的情况，许多网友提出质疑，“如果因为这种情况口令被泄，小我信息被盗或造成经济损失的话，网站是否有责任?”上海瑞富律师事务所副主任陈刚说，用户用注册口令登录网站，相当于双方之间的一种合同实行体例。如果信息被黑客攻取，黑客当承担第一责任，网站应承担连带责任。然而在实际情况中，对口令传输加密手段却没有明文规定。

“在口令传输中，有些网站采纳普通的加密体例，有些网站甚至不加密，没有具体标准，用户遇到了密码被窃事件，很难向这些网站提出维权。”陈刚说。

网络平安专家李铁军介绍，其实业内在口令措置方面只有一些常识性原则，可是国内目前还没有相关机构和组织，将上述零散的原则整理成为规范文档。