1. 首页
  2. 网络动态

用户提供资料越多泄密越严重

  专家指出互联网企业应担起保护隐私的责任而不是苛求上网者

  信息时代,互联网用户为了网站所宣称的安全,不得不提交更多的个人信息,并且由此面临越来越高的个人信息泄露风险——去年12月发生的网站用户资料泄密事件,让人们意识到,他们所信赖的网站其实一直在“裸奔”,信息安全实在不靠谱。

  在复旦大学日前举办的“中国计算机学会青年计算机科技论坛上海特别论坛”上,来自密码学、系统安全、网站运营的专家们共同探讨如何保护用户的隐私信息。学者们提出,保护用户隐私责任在互联网企业,关键是如何提高为用户保密的能力,也因为网络没有绝对的安全,要用户提供更多的个人资料,只会造成更大的泄密。

  破解5位数口令只需几秒钟

  “网络世界并没有绝对的安全。”复旦大学计算机科学与技术学院院长王晓阳教授称,在5、6年前,要攻破一个网站只需要10分钟。而今天,要破解9个字的最复杂的口令,只需要几天。破解常见的随机5位数口令,则只需要几秒钟。即使是采用目前最安全最高级的加密口令,黑客们也只需要两三个星期就能破解。

  “只要你联上网络,你的隐私就面临着泄露的风险。”复旦大学长期从事信息安全研究的韩伟力副教授这样告诉记者,“你在电脑前手指的每一个动作,都可以拼凑出你的‘个人信息’。”

  当你上网时,你会“顺便”搜一搜自己的名字,当然也会搜一搜自己所关心的人在网上留下了哪些脚印。那么通过来自同一个IP地址的这些搜索请求,你的个人信息已经可以被识别。

  在网络如此发达的今天,很多人身体不舒服,会上网搜索自己的症状,那么你的身体状况显然也不再是隐私。现在谷歌公司已经成立了专门的项目小组,分析各个地区的疾病发生情况,数据来源就是用户在搜索引擎中输入的搜索词。

  而如果你遇到结婚登记、约会等人生大事也爱上网,那么你的人生基本也被定位了。

  互联网用户在享受“免费”内容和服务的同时,都会付出代价——自己的私人信息。因为很多网络公司“暗地”跟踪人们的上网活动,寻找消费行为和地理位置信息,并对数百万消费者的此类海量数据进行分析,从而构建数据档案。在有些情况下,它们甚至知道互联网用户的姓名、性别、年龄、医疗记录,以及喜欢在网上关注哪些问题。

  90%的互联网公司不知被入侵

  “问题不在于个人信息是否被网站所获取,而在于这些信息被网站获取后是否得到妥善保存。”UCloud信息技术有限公司CEO季昕华说,“目前互联网公司其实就分三类,第一类是被入侵了,但不自知,这种最常见,几乎占互联网公司的90%以上;第二类是被攻击了,事后才发现;第三才是防卫措施比较好,没有被攻击的,但数量很少。”

  但在互联网沦陷的消息被公诸于众之前,所有网站从未让用户知晓这一切。相反,几乎所有网站在用户注册时,都会对用户提出各种保护自己隐私的要求。冗长的用户协议中,无一例外地写着“请注意定期更换口令”、“请不要把个人信息在网上透露给任何人”。实际上,这些网络公司对用户看似诚恳的忠告毫无意义。因为大多数企业都把用户的账号和口令明文保存在服务器上,几乎处于“坐等”黑客上门状态。一旦突破服务器防火墙,这些隐私信息便一览无遗。

  至于很多网站在用户登录时都要求用户填写附加码,王晓阳教授说:“有些附加码往往增加了用户登录时的麻烦,还有黑客的时间成本,却并不能增加用户信息的安全性。”SONY在2011年被黑客盗取的口令,登录时也要填附加码,但是这些以图片形式存在的附加码被破解后,仍然是明文文本形式放置在网页中。最终索尼公司泄露了1亿多个客户账户的详细资料和1200万个没有加密的信用卡号码。索尼至今已因此花掉了近2亿美元用于泄密事件之后的客户挽救、法律成本和技术改进。

  加密保存并非万无一失

  即便是服务器的防火墙没被突破,服务器上保存的用户账号和口令都加密保存,安全性依然存疑。因为现在除了木马,还有通过扫号,暴力破解用户个人信息,或者用相同的口令来破解账号,比如用“123456789”来破解不同的账号,总有账号和这个口令匹配。

  季昕华展示了一份某公司服务器的记录,在一分钟之内,以“tiny”作为前缀的各种账号被尝试登录近百次,有“tiny2008”、“tiny_bear”、“tinycandy”等等,有很多被服务器证明账号不存在或者密码错误,但确实有账号通过了认证。

  “在一些大型网络社区,每天尝试登录的账号中有一半属于扫号,因为大多数用户喜欢用同样的账号在不同网站注册。因此,黑客拿到某个用户的账号和口令后,除了登录他所攻击的社区,还会尝试其他的网站,获取邮箱内容,登录QQ、MSN或者微博,甚至获取工作信息、家人、朋友、同事的信息。”

  隐私保护不光是技术问题

  为了保护用户的隐私,密码学和系统安全专家提供了越来越高级的技术方案,但在王晓阳看来,信息安全研究越多,信息系统就越不安全。因为网络隐私保护的漏洞不可避免。他认为,增加网络信息的安全性,除了密码学和系统安全专家,还需要心理学、经济学、法学等领域的专家共同努力。

  比如关于电子财产,至今没有相关的法律规定。一旦网站泄密是否需要通报,通报到什么程度,这也没有规定。攻击者是否会付出代价,付出多少代价也没有相关的法律规定。王晓阳认为,既然漏洞不可避免,那么就应该有相关的法律规定,或者是通过经济杠杆来进行评估,甚至把电子财产货币化,通过经济杠杆来促使企业加强对网络信息安全的重视。

  此外,信息安全的研究人员还需要了解人类行为学、心理学等方面的知识。比如,用户的口令怎么设?王晓阳说,按照心理学研究,人们第一次设的口令通常是印象最深刻的,此后更改的很难记住。大部分人为了方便记忆,在定期更换口令时会遵循一些规律,比如有一半以上的人把口令中的某个数字每次加1。还有些人会把口令的数字和字母组合不断进行前后更换。“但这样的变化都是有规律可循的,完全失去了增加安全性的意义。”

  在专家看来,网站运营方必须提高对安全运营的投入,同时政府和监管部门也应该从技术研究、标准和规范制定、运营监管等方面,加强对用户隐私的保护。

  

发表评论

登录后才能评论