- 政策解读
- 经济发展
- 社会发展
- 减贫救灾
- 法治中国
- 天下人物
- 发展报告
- 项目中心
明文密码并非“祸首”
几百万、上千万的用户账号和密码,究竟是如何从网站“流出”的?
已承认用户数据被盗的CSDN和天涯社区在对外说明中,除将矛头指向攻击网站的黑客外,都同时提及了“明文密码”。CSDN和天涯社区在声明中称,因网站早期使用过明文密码,所以导致用户信息被盗。
“明文密码就是不加密的密码。”360网络安全专家石晓虹说,最不安全的数据保存方式就是直接存储明文,一旦数据库泄露,黑客就可直接掌握所有的账号和密码信息,肆无忌惮地盗取用户权益。这次“泄密门”之所以会涉及如此众多用户资料,密码直接存储明文只是诱因之一,更根本的原因是部分网站对于用户账号“重吸引轻保护”的态度。
随着中国互联网近年来快速发展,争夺用户成为每家网站迅速“长大”的重点。在风投资金的催化作用下,巨大的用户量是网站吸引更多风投的资本。因此,网站纷纷简化注册过程,以扩充注册用户数为第一要务。但与吸引用户时的“挥金如土”不同,很多网站在用户数据安全保护上的投入却是“锱铢必较”。
“小偷能偷到东西,不是因为我们把钱包放在了桌子上,而是因为家里的防盗门没锁。”一位业内人士的话一针见血地指出,“泄密门”并不是因为用户密码的保存方式,而是因为网站在信息安全保护上“偷工减料”。
“只有在国内排行前100的网站,才有专门的安全团队,剩下的网站几乎都是‘不设防’。”这位人士透露,互联网公司建立自己的安全运维团队资金投入量很大,比如大型B2C购物网站每年的安全投入可达千万元级别,普通网站要想免于黑客攻击每年也要付出几十万元的成本。但是目前,许多小公司的安全投入最多几十万元,有的只有几万元,甚至有的互联网公司连基本的公司防火墙都没有设置,黑客进出自由。
一些互联网企业不重视用户数据,是觉得安全对一个企业来说是要“花钱但不产生收入”的事情,即使用户数据被盗,对企业来说也损失不大。因此,在安全防范方面投入非常少,即使在出事之后也不重视,而是想办法遮掩。(记者 孙超逸)