分享更多
字体:

当当账户解冻只认新密码

http://msn.finance.sina.com.cn 2012-03-26 07:15 来源: 北京日报

  密码泄露威胁或蔓延至手机用户

  本报记者 刘宇鑫

  近一个月来,京东商城、当当网接连卷入“CSDN泄密门”,部分用户账户被盗刷的现象引起了社会各界的关注,甚至连一直持“事不关己”态度的电信运营商也感到了威胁。昨天,中国电信开始向用户群发短信,提醒大家尽快修改初始服务密码,以保证用户在办理套餐修改、通话详单、手机上网等业务时的信息安全。而上周曾冻结全部用户账户和礼品卡74个小时的当当网,目前仍处于用户先修改密码才能向客服申请激活账户的“安全模式”。

  当当:

  用户修改密码方可激活账户

  从3月19日22时至22日24时,当当网冻结了全部用户账户余额和礼品卡。这是19日上午当当网CEO李国庆召集的一次多部门会议上做出的决定。李国庆在会上拍板:“冻结全部有礼品卡和余额的账户,通过短信和邮件的方式通知所有用户上网改密码,所有用户损失当当来补偿,并向公安机关报警。”

  19日当天,当当网向约50万账户上有余额和礼品卡的用户发出了短信、邮件。按照公司的设想,至少要有80%的客户会去修改自己的密码。但实际上这三天的数据显示,只有不到5%的用户更改了自己的密码,这令网站工作人员颇感意外。

  19日下午,李国庆再次召开会议,汇总了各项决定执行的情况,并且立刻着手布置付款流程的改进——付款前要用手机接收验证码。公司内部当时通报的数据是,从2月中旬到3月19日冻结用户账户前,报告上来的账户异常共197例,账户损失的金额绝大多数从几十元到几百元不等。

  22日,即账户解冻的前一天,当当网对外发布了将执行临时性“安全模式”。昨天18时,记者致电当当网客服了解到,“安全模式”出现升级的迹象。用户如果想动用账户余额,在按上周执行的临时规定——向客服人员申请核实身份之前,必须先修改自己的账户密码。

  网购:

  预存资金安全基本靠网站

  从目前获知的几起电商用户账户被盗刷的现象看,去年年末爆发的“CSDN泄密门”难脱干系,但业内专家分析,网站泄密、黑客入侵、用户使用不当都可能造成账号被盗。

  在当当网爆出账户被盗刷之前约一个月,京东商城已经卷入了“CSDN泄密门”,出现了大量账户被套用盗刷的情况。不过此次事件的具体原因仍有待查明。

  “造成账号被盗的可能性非常多,也不排除内部员工疏忽大意,也可能是因为用户本身的密码设置存在一定的规律,黑客通过排列组合破译。”网秦首席安全专家邹仕洪认为,现在网络上的盗号手段非常多,获取账户密码的渠道也不少,所以用户自己必须更加谨慎。

  至于如何保障网购用户预付资金的安全,在一家电商网站负责客户服务的陈经理坦言,安全方面全靠网站自身力量。“网购预付资金没有托管机构,又不能放入银行,不可能绝对安全,网站在管理、技术上的投入、重视程度等都决定这些资金的安全系数。”他说。

  用户:

  好记性与弱密码的博弈

  在反思包括CSDN在内的多家网站用户信息泄露时,CSDN董事长蒋涛认为,国内互联网公司当前普遍存在两个现状:一是重视业务,二是缺乏安全意识,对于数据安全和系统安全认识不够。一些网站对于外界侵袭没有建起足够坚固的“防火墙”。从互联网数据分析结果来看,服务端近80%的密码库可破解。而在用户端,使用频率最高的前100个密码,覆盖了22.6%的用户,60%用户用的是纯数字口令。“弱密码”的提法便是由此而来。

  一桩桩基于“CSDN泄密门”的后续事件,近期再次激起了各家网站、用户对于“弱密码”的争论。

  360安全中心最新发布的《密码安全指南》,根据国内流行的密码破解字典软件破解列表,整理总结出中国网民最常用的25个“弱密码”,中国网民常用的这些 “弱密码”中,有9个与国外网民使用习惯完全相同。其中,除password、abc123、iloveyou等全球网民通用“弱密码”外,其余均为数字组合。而从中国版“弱密码”榜单来看,国内网民更习惯设置6位字符密码。这25个“弱密码”中竟有18个是6位字符,所占比例高达72%。

  从当当网的用户登录监测可以看出,在只有用户名被泄露的情况下,如果用户采用上述“弱密码”,很容易被黑客利用密码字典自动“猜中”,从而造成个人隐私信息泄漏甚至财产损失。

  在这场“弱密码”的争论中,网民张婷的说法也获得一定的支持。她说,从手机查询到各类银行卡、资产投资,从网站、微博(http://weibo.com)登录到电商网购,大多数成年网民每人至少有一二十个账户名和密码,如果都是单独设立,有几个人能记得住?又如何保证相互间不会混淆?一提到信息安全,众多商家都是异口同声地提醒消费者修改密码,商家就没有责任吗?

  专家观点

  预存资金“实名制”或成有效保障

  京东商城账号被盗发生后,已和账号存在风险的用户进行一对一沟通,建议用户将密码设置得更复杂一些。此外,也为用户提供了账号安全功能服务。当当网则表示,当当网将会启动更加严密的安全措施,包括计划在本周启动手机验证,类似于银行U盾、动态密码等高科技手段也被纳入保障措施。

  中消协律师团团长邱宝昌表示,虽然目前对于网上预付资金的监管没有规定,但是一旦这部分资金出了问题,用户完全可以通过法律途径解决问题。因为网站和用户之间形成了合约关系,所以一旦出现问题,网站要进行赔偿。他还建议,可以实行保证金制度弱化风险,一旦出现意外,网站保证金可用于向消费者先行赔付,这同时有利于激励各电商网站增加在信息安全方面的投入。

  相比电商行业,第三方支付机构在安全方面的调整更快。今年年初,央行发布《支付机构互联网支付业务管理办法(征求意见稿)》,拟要求互联网支付账户的开立实行实名制,并规定“不得利用信用卡透支为支付账户充值”。这意味着,互联网支付将正式步入“实名”时代。

  “从手机验证开始,到未来银行U盾、动态密码等安全手段在电商行业全面上马,网购‘实名制’也将成为行业未来发展的主流趋势之一。”中国社会科学院信息化研究中心秘书长姜奇平说,虽然为了规避风险,但这些新措施势必会提高一定的交易成本,应尽早找到让交易各方都可以接受的方式来分摊,千万不能让消费者全部埋单。

分享更多
字体:

网友评论

以下留言只代表网友个人观点,不代表MSN观点更多>>
共有 0 条评论 查看更多评论>>

发表评论

请登录:
内 容: