中國(guó)軟件評(píng)測(cè)中心29日發(fā)布的《網(wǎng)站用戶口令處理安全性外部測(cè)評(píng)報(bào)告》指出，國(guó)內(nèi)網(wǎng)站對(duì)用戶口令的處理方式存在突出的安全問題。在抽樣調(diào)查的網(wǎng)站中，59%沒有采取任何安全措施。中國(guó)軟件評(píng)測(cè)中心副主任高熾揚(yáng)建議盡快建立個(gè)人信息保護(hù)體系，加強(qiáng)網(wǎng)站對(duì)個(gè)人信息保護(hù)技術(shù)和管理水平。

　　中國(guó)軟件評(píng)測(cè)中心聯(lián)合北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室，抽取了門戶、郵箱、電子商務(wù)、招聘等9類100個(gè)網(wǎng)站，對(duì)其用戶口令處理進(jìn)行安全性測(cè)評(píng)。

　　測(cè)評(píng)發(fā)現(xiàn)，大多數(shù)網(wǎng)站對(duì)用戶口令處理的安全意識(shí)不夠。100個(gè)網(wǎng)站中，僅有8個(gè)網(wǎng)站采取了充分的安全措施對(duì)用戶口令做處理，有59個(gè)網(wǎng)站沒有采取任何安全措施，使得用戶口令直接暴露在傳輸網(wǎng)絡(luò)以及服務(wù)器端，更有85個(gè)網(wǎng)站直接拿到了用戶的口令原文。

　　“部分用戶在不同網(wǎng)站注冊(cè)賬號(hào)時(shí)習(xí)慣采用相同的用戶名和口令，一旦在某網(wǎng)站的口令被泄露，在其他網(wǎng)站上的數(shù)據(jù)也遭到一定程度的‘連帶式泄漏’，極大增加安全風(fēng)險(xiǎn)。”北京大學(xué)互聯(lián)網(wǎng)安全技術(shù)北京市重點(diǎn)實(shí)驗(yàn)室高級(jí)工程師龔曉銳說。

　　報(bào)告顯示，不同類型的網(wǎng)站對(duì)用戶口令處理的安全意識(shí)不一樣，招聘類、婚戀類網(wǎng)站的安全意識(shí)最為薄弱。而被測(cè)評(píng)的電子商務(wù)類網(wǎng)站中，幾乎所有網(wǎng)站都直接獲取了用戶的原始口令。

　　“目前在網(wǎng)站用戶口令處理方面，還沒有一個(gè)明確的標(biāo)準(zhǔn)或規(guī)范，如何處理用戶口令只能依賴網(wǎng)站開發(fā)者、運(yùn)營(yíng)者對(duì)安全常識(shí)的了解及自律，這是造成上述問題的主要原因之一。”中國(guó)軟件評(píng)測(cè)中心副主任高熾揚(yáng)說。

　　高熾揚(yáng)建議，盡快建立個(gè)人信息保護(hù)體系，加強(qiáng)相關(guān)企業(yè)在技術(shù)和管理體系上對(duì)個(gè)人信息的保護(hù)力度，營(yíng)造健康的互聯(lián)網(wǎng)環(huán)境。

　　同時(shí)，中國(guó)軟件評(píng)測(cè)中心將依據(jù)國(guó)家標(biāo)準(zhǔn)，面向網(wǎng)站等相關(guān)企業(yè)開展《個(gè)人信息保護(hù)管理體系認(rèn)證》服務(wù)。