5月29日,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室发布的《网站用户口令处理安全性外部测评报告》指出,国内网站对用户口令的处理方式存在突出的安全问题。在抽样调查的网站中,100个网站中,59%没有采取任何安全措施。使得用户口令直接暴露在传输网络以及服务器端,更有85个网站直接拿到了用户的口令原文。
中国软件评测中心联合北京大学互联网安全技术北京市重点实验室,抽取了门户、邮箱、电子商务、招聘等9类100个网站,对其用户口令处理进行安全性测评。测评发现,大多数网站对用户口令处理的安全意识不够。100个网站中,仅有8个网站采取了充分的安全措施对用户口令做处理,有59个网站没有采取任何安全措施,使得用户口令直接暴露在传输网络以及服务器端,更有85个网站直接拿到了用户的口令原文。
北京大学互联网安全技术北京市重点实验室高级工程师龚晓锐告诉记者:“网站对用户口令安全性进行维护其实很简单,一个普通的编程人员,一两天的时间就能基本搞定。”之所以出现这些问题,主要原因在于“目前在网站用户口令处理方面,还没有一个明确的标准或规范,如何处理用户口令这一私密性很强的用户个人信息,只能依赖网站开发者、运营者对安全常识的了解以及自律性。”中国软件评测中心副主任高炽扬说,我国首个网站个人信息保护规范《信息安全技术 公共及商用服务信息系统个人信息保护指南》,已于去年年底在国家标准委网站上结束公示,正式进入到国家标准报批环节。