信息时代,互联网成为现代生活必不可少的一部分,网络世界与真实生活紧密相连后,网络实名制也成为一个不可忽略的议题。实名制要求用户提供个人真实信息,当越来越多的密码、口令、身份证号、手机号、信用卡号、访问记录等数据,必须暴露给网站时,网民个人信息安全的保障问题成为聚焦的核心。
个人信息安全保护要追根溯源找到解决办法,必须得发现问题症结所在,层出不穷的泄露事件暴露出网络安全的多个“死穴”。
网站缺位:明文密码只是“摆设”
回顾网络实名制呼声缘起的事件,国内最大开发社区CSDN数据库泄露事件堪称史上最大规模。软件工程师小高是CSDN的老用户,去年底,黑客第一个公开 600万用户的账户密码后,他从网络下载到了这个数据库,从中找到了自己注册的帐号密码,并登陆CSDN进行了密码修改。
小高称,密码被泄露,究其原因,是因为用户密码在提交给网站后,被明文放在数据库中,而且数据库也没有进行加密。“现在很多社交网站仍采用明文密码,黑客攻破数据库后,直接就可以看到密码,如果采用密文,还必须先解密,相当于多层防护。而且写几句代码就能对一段字符加密,最常用的是MD5加密方式,是很难破解的。”
游侠安全网站长、首席信息安全官网创始人张百川(网路游侠)认为,明文密码不是最主要问题,关键在于业务系统存在漏洞。“就像你把钱放在桌子上,本身是没问题的,但是你门没关好,这就难说。其实还是网站管理方面的安全意识不够,工作没有做到位。”
张百川表示,网站必须加强数据库防护措施,如防火墙、入侵检测或入侵防御、数据库审计、数据库防护等。
用户责任:网民个人信息安全意识淡薄
人人、猫扑也曾被爆口令泄露。公务员张峰在人人网上有自己的ID,同学发现他的账号突然发了一对广告,他得知后并没在意,也没有修改密码,几天后再登录人人账号,就发现登录不上去了,至今仍未能找回账号密码。
“我无法否认掉自己的责任,网络上肯定会有漏洞,我们自己要更加注意,在察觉账号被动的第一时间,我就应该修改自己的密码。”张峰说,QQ上也经常有朋友发布奇怪信息,告诉他们后也未见更改密码,有的直接换了QQ号。
据了解,很多网络用户为了省去麻烦,把所有的密码都设置成一样的,而且越简单、好记越好。而CSDN董事长蒋涛说,在密码泄露事件后,经多次提醒,仅有30%用户修改了密码。由此可见,诸多网民对个人信息安全保护意识并不强烈。
制度混乱:网站安全机制五花八门
对于广大用户来说,个人信息被泄露后,权益无法得到保障才是关键问题。在索尼用户个人资料泄密事件中,索尼承诺为所有泄密的美国用户提供一项价值100万美元的身份盗用保险,用于防止被窃取用户信用卡和个人信息被滥用而造成损失。这种措施增加了用户的安全保障,国内很多企业已经在这么做。
“腾讯QQ登录采用令牌,腾讯游戏采用令牌,包括网易的将军令,招商银行、工商银行等的USBKEY也都是安全措施。”张百川说,“这种安全机制很好,但是目前各大网站几乎都是各行其道,互不兼容。我们外出的时候可以携带一两个,甚至七八个KEY,但是再多就挺麻烦的,我期待有通用认证的那一天。”
一位业内人士称,建立各种安全机制需要投入大量资金,在缺乏一个有效立法制度的情况下,互联网企业并不愿花大量资金投入到网络安全。张百川也表示,很多大网站并没有安全防护措施,因为他们认为网站服务是第一位的,安全并不重要,即使丢失隐私也不是自己的。
利益链条:个人信息成为倒卖筹码
CSDN事件发生后,软件工程师小高也曾利用技术手段窥探过数据库里他人的信息,“我们自己写了个小程序,把数据库里的邮箱帐号及密码,到新浪、网易、 QQ邮箱进行登录匹配,600万条数据中,能匹配上的大概有60万条。”小高说,“我们也登录他人邮箱也只是觉得好玩,但有些黑客会利用这些数据进行买卖交易,比方说商家就能利用邮箱号给用户发送广告。”
在互联网行业,数据交易早已是公开的秘密,个人隐私保护从来不是单纯的技术问题,而是成为利益筹码被随意倒卖,在很多黑客看来,数据库是实现最大利益的途径。
对此,张百川表示必须加强控制手段,一旦犯事,必须严惩。“我们的法规其实是有的,但我个人觉得还不够严厉,我们必须加强控制手段,对待网络违法犯罪行为绝不姑息,否则以后越来越无法无天。”
不管是微博实名制的出台、快件实名制的试点,网络上关于实名制的议题从来没有降温过,网友讨论的主题始终是对个人信息安全的担忧。安全感的建立是在信任的基础上,在制度推行之前,网站如何才能建立安全有效的保障机制、用户的个人隐私保护意识,以及相关部门规章制度的建立,这些都是亟待解决的问题。