- 政策解讀
- 經濟發展
- 社會發展
- 減貧救災
- 法治中國
- 天下人物
- 發展報告
- 項目中心
明文密碼并非“禍首”
幾百萬、上千萬的用戶賬號和密碼,究竟是如何從網站“流出”的?
已承認用戶數據被盜的CSDN和天涯社區在對外說明中,除將矛頭指向攻擊網站的黑客外,都同時提及了“明文密碼”。CSDN和天涯社區在聲明中稱,因網站早期使用過明文密碼,所以導致用戶信息被盜。
“明文密碼就是不加密的密碼。”360網絡安全專家石曉虹說,最不安全的數據保存方式就是直接存儲明文,一旦數據庫泄露,黑客就可直接掌握所有的賬號和密碼信息,肆無忌憚地盜取用戶權益。這次“泄密門”之所以會涉及如此眾多用戶資料,密碼直接存儲明文只是誘因之一,更根本的原因是部分網站對于用戶賬號“重吸引輕保護”的態度。
隨著中國互聯網近年來快速發展,爭奪用戶成為每家網站迅速“長大”的重點。在風投資金的催化作用下,巨大的用戶量是網站吸引更多風投的資本。因此,網站紛紛簡化注冊過程,以擴充注冊用戶數為第一要務。但與吸引用戶時的“揮金如土”不同,很多網站在用戶數據安全保護上的投入卻是“錙銖必較”。
“小偷能偷到東西,不是因為我們把錢包放在了桌子上,而是因為家里的防盜門沒鎖。”一位業內人士的話一針見血地指出,“泄密門”并不是因為用戶密碼的保存方式,而是因為網站在信息安全保護上“偷工減料”。
“只有在國內排行前100的網站,才有專門的安全團隊,剩下的網站幾乎都是‘不設防’。”這位人士透露,互聯網公司建立自己的安全運維團隊資金投入量很大,比如大型B2C購物網站每年的安全投入可達千萬元級別,普通網站要想免于黑客攻擊每年也要付出幾十萬元的成本。但是目前,許多小公司的安全投入最多幾十萬元,有的只有幾萬元,甚至有的互聯網公司連基本的公司防火墻都沒有設置,黑客進出自由。
一些互聯網企業不重視用戶數據,是覺得安全對一個企業來說是要“花錢但不產生收入”的事情,即使用戶數據被盜,對企業來說也損失不大。因此,在安全防范方面投入非常少,即使在出事之后也不重視,而是想辦法遮掩。(記者 孫超逸)