大规模泄密事件的“为什么”
你修改了自己在各大网站的密码了吗?
年末国内互联网大量用户密码及个人信息的泄露事件,让网民人心惶惶。CSDN、天涯等网站均公开向用户致歉并向公安机关报警,部分网民在各大网站改密码改到手软。为什么会发生这样的事件?
或许有人觉得这是个偶发事件,其实不然。这次事件不过是将中国互联网安全的底裤掀起了一角,让大家看到了一点内里而已。长久以来,个人信息安全,对于国内互联网用户而言是个奢侈品,个人信息的私下买卖早就是个市场。某些国内互联网公司在安全方面投入极少,更有互联网公司或其内部人员一直以泄露用户个人信息营利。这次事件的爆热,只是因为用户数据库被公之于网上。
究竟如何解决这样普遍存在的问题,或许每个人、每家公司都有自己的理解。但一些似是而非的对策我们或许应当要警惕,我们或许应当多问几个为什么,警惕这些观念让我们误入歧途,警惕这些观念消解人们对此事件的深入探究。比如以下这三个对策:
1、提高中国网民的安全意识
这类建议好比在盗贼横行的地方要求人们捂紧钱袋尽量少出门,但这是解决盗贼横行的主要办法吗?网民再有安全意识,设置再复杂的密码,面对可以随时被明文公开的情况,面对随时被内部人出卖的情形,那是没有任何安全可言的。
2、要求国内互联网公司加强安全
商业,为利而动。没有竞争的压力和动力,任何单纯的此类要求都是无力的,最后只能形成空洞的表态或宣言。需要考虑的或许是:为什么国内互联网公司如此不重视个人信息安全的保护,它们不怕因此在竞争中失利吗,它们不怕因此被法律追究而倒闭吗?
3、呼吁加强立法
是的,在个人信息立法方面,明确具体指向个人信息的,目前仅有刑法的一个修正案。是的,《个人信息保护法》立法起草好象有6年了还没有出台。但是,我们已有的互联网安全相关的法律法规本身就对此有了概括的规范,这些法规执行到位了吗?有关网络安全的立法内容在各级互联网法律法规中层出不穷,甚至是取得经营许可的前提条件,可是,除了对某些性质的内容我们看到了严管以外,为什么个人信息保护方面的安全制度及日常运营很少看见行政机关对互联网企业进行严管?与《个人信息保护法》的起草时间相比,为什么微博实名制的出台那么的迅捷?为什么?
李立律师,北京尚公(上海)律师事务所 - 首发于LawLee.net(欢迎讨论交流,电话:13501679746,邮箱:www@lawlee.net) 上一篇: 关于微博实名制的纯真和复杂 » »下一篇: 微博公关失败案例–归真堂 » »
转载网友:
因为大多数网民都用同一ID和密码在各网站间使用,且密码按个人习惯设置,容易导出用户隐私,所以服务器拥有者无权查窥用户的密码明文,服务器应当将用户密码HASH运算后,便丢弃原密码,只记录密码的HASH值,供下次身份验证用。此方法不需记录高度敏感的密码明文,技术上成熟,实现也相当简单。
用户鉴权过程只能由电脑完成,连网站管理员也无权查阅你的密码明文,同时也防止内部员工和黑客窃取,根本就不应当保存密码原文。相当于物业保安只能帮业主守门和开门、关门,却不能帮业主保管甚至私配钥匙。哪怕有人偷偷越权窥探数据库,也只能看到原密码的HASH值,那是一串冗长无意义的乱码。
客户隐私为行业根本,保护客户资料为企业首要规范,网站老板和核心程序员不可能不知道这一点。但这一次国内各大网站都同时泄露了用户密码明文等信息。这么多拥有千万用户的大型网站,难道都在同一时间疏忽大意犯了同样的低级错误?业者拥有千万用户,收入无数,难道就写不出几行私有加密的代码?这是相当诡异、无法理解的一件事。他们应该尽其所能,保守网民私密,而不是为虎作伥,把所有用户密码明文全盘托出,事后倒歉了事。各大网站不遵守职业操守,却要亿万用户付出高额成本及承担惨痛的后果,呵呵,还纷纷装成无辜受害者报案。其实应该先请公安查查你们自己——为什么都无耻地用明文保存密码。
网民在嘲笑他人使用弱密码时,又如何保证明天你的密码不会在网络公布并被人恶意使用?各大网站同时犯错的那一年到底发生了什么?是谁居心叵测,以致这么多的不同的网站,冒如此大的风险,偷窥、记录和散播客户隐私?他们为什么要犯如此大忌保存客户的密码明文?哪些个人或组织有如此大能量,能同时窃取到众多网站的最高机密?能同时拥有这么多不同公司的客户绝密资料?难道真是个别黑客能力所及?为什么这种全方位侵犯网民私密的行为却只在中国肆虐?这种见不得人的勾当今天是否还在继续?
HHASH是一种散列值提取方法,从结果无法逆向推算出原始信息。已公开算法的有:MD5,SHA1,SHA2,WHIRLPOOL,RIPEMD,RadioGatun等等。哪怕只用最古老的MD5加随机扰码并多次HASH,在有效时间内一样无法破解,或者破解的成本和时间,远远超过破解本身的价值。问题是在国内,坏家伙都用明文保存你的密码,哪怕再强的加密方法,所有人永远是透明的。
[Reply]