当当账户解冻只认新密码

　　密码泄露威胁或蔓延至手机用户

　　本报记者 刘宇鑫

　　近一个月来，京东商城、当当网接连卷入“CSDN泄密门”，部分用户账户被盗刷的现象引起了社会各界的关注，甚至连一直持“事不关己”态度的电信运营商也感到了威胁。昨天，中国电信开始向用户群发短信，提醒大家尽快修改初始服务密码，以保证用户在办理套餐修改、通话详单、手机上网等业务时的信息安全。而上周曾冻结全部用户账户和礼品卡74个小时的当当网，目前仍处于用户先修改密码才能向客服申请激活账户的“安全模式”。

　　当当：

　　用户修改密码方可激活账户

　　从3月19日22时至22日24时，当当网冻结了全部用户账户余额和礼品卡。这是19日上午当当网CEO李国庆召集的一次多部门会议上做出的决定。李国庆在会上拍板：“冻结全部有礼品卡和余额的账户，通过短信和邮件的方式通知所有用户上网改密码，所有用户损失当当来补偿，并向公安机关报警。”

　　19日当天，当当网向约50万账户上有余额和礼品卡的用户发出了短信、邮件。按照公司的设想，至少要有80%的客户会去修改自己的密码。但实际上这三天的数据显示，只有不到5%的用户更改了自己的密码，这令网站工作人员颇感意外。

　　19日下午，李国庆再次召开会议，汇总了各项决定执行的情况，并且立刻着手布置付款流程的改进——付款前要用手机接收验证码。公司内部当时通报的数据是，从2月中旬到3月19日冻结用户账户前，报告上来的账户异常共197例，账户损失的金额绝大多数从几十元到几百元不等。

　　22日，即账户解冻的前一天，当当网对外发布了将执行临时性“安全模式”。昨天18时，记者致电当当网客服了解到，“安全模式”出现升级的迹象。用户如果想动用账户余额，在按上周执行的临时规定——向客服人员申请核实身份之前，必须先修改自己的账户密码。

　　网购：

　　预存资金安全基本靠网站

　　从目前获知的几起电商用户账户被盗刷的现象看，去年年末爆发的“CSDN泄密门”难脱干系，但业内专家分析，网站泄密、黑客入侵、用户使用不当都可能造成账号被盗。

　　在当当网爆出账户被盗刷之前约一个月，京东商城已经卷入了“CSDN泄密门”，出现了大量账户被套用盗刷的情况。不过此次事件的具体原因仍有待查明。

　　“造成账号被盗的可能性非常多，也不排除内部员工疏忽大意，也可能是因为用户本身的密码设置存在一定的规律，黑客通过排列组合破译。”网秦首席安全专家邹仕洪认为，现在网络上的盗号手段非常多，获取账户密码的渠道也不少，所以用户自己必须更加谨慎。

　　至于如何保障网购用户预付资金的安全，在一家电商网站负责客户服务的陈经理坦言，安全方面全靠网站自身力量。“网购预付资金没有托管机构，又不能放入银行，不可能绝对安全，网站在管理、技术上的投入、重视程度等都决定这些资金的安全系数。”他说。

　　用户：

　　好记性与弱密码的博弈

　　在反思包括CSDN在内的多家网站用户信息泄露时，CSDN董事长蒋涛认为，国内互联网公司当前普遍存在两个现状：一是重视业务，二是缺乏安全意识，对于数据安全和系统安全认识不够。一些网站对于外界侵袭没有建起足够坚固的“防火墙”。从互联网数据分析结果来看，服务端近80%的密码库可破解。而在用户端，使用频率最高的前100个密码，覆盖了22.6%的用户，60%用户用的是纯数字口令。“弱密码”的提法便是由此而来。

　　一桩桩基于“CSDN泄密门”的后续事件，近期再次激起了各家网站、用户对于“弱密码”的争论。

　　360安全中心最新发布的《密码安全指南》，根据国内流行的密码破解字典软件破解列表，整理总结出中国网民最常用的25个“弱密码”，中国网民常用的这些 “弱密码”中，有9个与国外网民使用习惯完全相同。其中，除password、abc123、iloveyou等全球网民通用“弱密码”外，其余均为数字组合。而从中国版“弱密码”榜单来看，国内网民更习惯设置6位字符密码。这25个“弱密码”中竟有18个是6位字符，所占比例高达72%。

　　从当当网的用户登录监测可以看出，在只有用户名被泄露的情况下，如果用户采用上述“弱密码”，很容易被黑客利用密码字典自动“猜中”，从而造成个人隐私信息泄漏甚至财产损失。

　　在这场“弱密码”的争论中，网民张婷的说法也获得一定的支持。她说，从手机查询到各类银行卡、资产投资，从网站、微博(http://weibo.com)登录到电商网购，大多数成年网民每人至少有一二十个账户名和密码，如果都是单独设立，有几个人能记得住？又如何保证相互间不会混淆？一提到信息安全，众多商家都是异口同声地提醒消费者修改密码，商家就没有责任吗？

　　专家观点

　　预存资金“实名制”或成有效保障

　　京东商城账号被盗发生后，已和账号存在风险的用户进行一对一沟通，建议用户将密码设置得更复杂一些。此外，也为用户提供了账号安全功能服务。当当网则表示，当当网将会启动更加严密的安全措施，包括计划在本周启动手机验证，类似于银行U盾、动态密码等高科技手段也被纳入保障措施。

　　中消协律师团团长邱宝昌表示，虽然目前对于网上预付资金的监管没有规定，但是一旦这部分资金出了问题，用户完全可以通过法律途径解决问题。因为网站和用户之间形成了合约关系，所以一旦出现问题，网站要进行赔偿。他还建议，可以实行保证金制度弱化风险，一旦出现意外，网站保证金可用于向消费者先行赔付，这同时有利于激励各电商网站增加在信息安全方面的投入。

　　相比电商行业，第三方支付机构在安全方面的调整更快。今年年初，央行发布《支付机构互联网支付业务管理办法(征求意见稿)》，拟要求互联网支付账户的开立实行实名制，并规定“不得利用信用卡透支为支付账户充值”。这意味着，互联网支付将正式步入“实名”时代。

　　“从手机验证开始，到未来银行U盾、动态密码等安全手段在电商行业全面上马，网购‘实名制’也将成为行业未来发展的主流趋势之一。”中国社会科学院信息化研究中心秘书长姜奇平说，虽然为了规避风险，但这些新措施势必会提高一定的交易成本，应尽早找到让交易各方都可以接受的方式来分摊，千万不能让消费者全部埋单。