近日，中國軟件評測中心和北京大學互聯(lián)網(wǎng)安全技術北京市重點實驗室聯(lián)合發(fā)布的《網(wǎng)站用戶口令處理安全性外部測評報告》顯示，在抽取的100個網(wǎng)站中，大多數(shù)的網(wǎng)站對用戶口令處理的安全意識不夠，有59個網(wǎng)站沒有采取任何安全措施，使得用戶的密碼處于“裸奔”狀態(tài)。

　　85%網(wǎng)站可看密碼原文

　　報告抽取了門戶、郵箱、電子商務、招聘等9類100個網(wǎng)站進行測評，測評發(fā)現(xiàn)，僅有8個網(wǎng)站采取了充分的安全措施對用戶口令做處理，有59個網(wǎng)站沒有采取任何的安全措施。另外，在這100家網(wǎng)站中有85個網(wǎng)站直接拿到了用戶的口令原文，其中，招聘類、婚戀類、電子商務類網(wǎng)站的用戶口令安全現(xiàn)狀最差。

　　北大互聯(lián)網(wǎng)安全技術北京市重點實驗室高級工程師龔曉銳認為，用戶口令原文是用戶重要的個人隱私信息，這對用戶構成很大的個人信息泄露風險。“部分用戶在不同網(wǎng)站注冊賬號時習慣采用相同用戶名和口令，一旦在某網(wǎng)站的口令被泄露，在其他網(wǎng)站的數(shù)據(jù)也會遭到一定程度的“連帶式泄露”。

　　處理密碼無明確規(guī)范

　　中國軟件評測中心副主任高熾揚說，提高用戶口令安全是一個常規(guī)性的安全保護措施，而且提高安全性的成本很低。一個普通編程人員利用現(xiàn)有的公開技術，一天時間就能實現(xiàn)，而且還不用客戶更新信息。

　　高熾揚認為，目前在網(wǎng)站的用戶口令處理方面，還沒有一個明確的標準或規(guī)范。如何處理用戶口令，只能依賴網(wǎng)站開發(fā)者、運營者對安全常識的了解及自律，這也是造成現(xiàn)有問題的主因之一。

　　調查說明

　　選取網(wǎng)站：共抽取門戶、郵箱、電子商務、招聘類、婚戀類、游戲類、論壇、博客、微博共9大類100個網(wǎng)站。之所以選擇這些網(wǎng)站，是因為這些網(wǎng)站瀏覽量大、用戶多，個人真實信息也較多。

　　結果：門戶、郵箱、游戲類網(wǎng)站相對較好，電子商務、招聘類、婚戀類網(wǎng)站的用戶口令安全現(xiàn)狀最差。調查共抽取12個電子商務類、15個招聘類、10個婚戀類網(wǎng)站，這些網(wǎng)站口令的傳輸形態(tài)均為“原文”。