本篇文章710字,读完约2分钟
新华网北京5月29日电中国软件(600536)评估中心29日发布的《网站用户密码处理安全性外部评估报告》指出,国内网站用户密码处理方式存在突出的安全问题。59%的抽样网站没有采取任何安全措施。中国软件测试中心副主任高赤阳建议,应尽快建立个人信息保护体系,加强网站个人信息保护的技术和管理水平。
中国软件测试中心与北京大学网络安全技术北京重点实验室合作,选择了门户、电子邮件、电子商务、招聘等9大类100个网站,并对其用户密码处理的安全性进行了评估。
发现大多数网站都没有意识到用户密码处理的安全性。在100个网站中,只有8个网站对用户密码采取了足够的安全措施,59个网站没有采取任何安全措施,使得用户密码直接暴露在传输网络和服务器上,85个网站直接获得了原始用户密码。
“有些用户习惯于在不同网站注册帐户时使用相同的用户名和密码。一旦某个网站的密码被泄露,其他网站的数据也会受到一定程度的“联合泄露”,大大增加了安全风险。”北京大学网络安全技术北京重点实验室高级工程师龚说。
报告显示,不同类型的网站对用户密码处理的安全意识不同,招聘网站和婚姻网站的安全意识最弱。在经过评估的电子商务网站中,几乎所有的网站都直接获得了用户的原始密码。
“目前,网站用户密码处理没有明确的标准或规范。如何处理用户密码只能依靠网站开发者和运营商对安全常识的理解和自律,这也是造成上述问题的主要原因之一。”中国软件测试中心副主任高赤阳说。
高赤阳建议尽快建立个人信息保护体系,加强相关企业在技术和管理制度上对个人信息的保护,营造健康的互联网环境。
同时,中国软件测试中心将按照国家标准为网站等相关企业提供“个人信息保护管理系统认证”服务。