2012年1月11日，第六屆中國IDC產業年度大典在北京國家會議中心盛大開幕，本屆大會以“構建云數據中心暨云應用創新論壇”為主題，邀電信運營商、IDC企業、設備廠商、互聯網等業界同仁共同探討云計算時代下的IDC產業機遇與責任，現在是淘寶網的安全產品經理張建偉先生發表演講：云安全入口之賬號安全。

張建偉：各位到場來賓大家好，借這個機會祝大家新年快樂。在年前，一般我們搞安全的逢年過節都是要加班的，為什么？因為從歷史數據看，一些安全事件統計上看，只要是過節的，有休閑時間的，安全問題就會翻倍，年前也是一個重點防護的時間段，但是不幸的是我們也看到行業安全問題。在這個敏感的時期，討論這個話題也是非常敏感的，但是我覺得這個問題跟我們想象的不太一樣，賬號泄漏這個問題不是說一家的問題，說我們自己泄漏了，我們自己遭殃，別人泄漏了我們看他們的熱鬧，不是的。賬號安全應該是大家共同面臨的一個問題，也是整個行業將要解決的未來三到五年之內持續不斷努力要解決的問題。

接下來我簡單介紹一下從我的角度看到的用戶安全問題。我先對自己做一個簡單介紹，我之前是做Unix系統攻防出身，后來關注Web安全，到現在關注業務安全。從我個人歷程上看，我是從一個技術架構開始向業務轉型，更加關注業務層面的一些東西，為什么要關注業務層面的東西呢？在我看來技術層面的問題，基本上用技術就可以解決，跟業務打交道的，跟人打交道的時候，情況更加復雜，也是目前在安全領域，在民用安全領域最嚴重的一個問題。

說到云計算，我個人對云的了解不是特別多，我這邊抽象了一個概念，只要是一個黑盒子提供服務，它可擴展，我大概就認為它是一個云。現在我們到處在講云計算，普通用戶也知道這個情況了，但是普通于乎反饋回來的聲音是他們不懂什么叫云，我們云計算IDC的用戶不是普通用戶，而是我們的廠商，但是普通用戶看到的云，應該是一個對他服務的可擴展的資源整體。從這個角度看，業務云的安全是這個樣子，我本身把一個數據存儲到云上，這個數據對于這朵云來說自身要對數據做一些凈化，或者用戶在使用這些數據的時候，可能有一些干擾，也要做一些數據凈化。從投入上看，數據凈化是投入最大的一塊。

簡單講，如果我們把NS網站，或者電子商務網站，也做一個云服務給客戶提供服務，上面的數據凈化可以簡單看成是垃圾信息過、濾敏感信息過濾這些東西。一個封閉的系統，除了我們自己把難備做好之外，數據要保證完整之外，更多的安全方向來自于和外部有接口的地方，一朵云什么時候和外部有接口？API照用。他要用這個云服務，他怎么用的這個過程本身會出問題，對于一個給普通用戶提供服務的系統來說，身份認證這個環節是最薄弱的一個環節，也是安全問題最嚴峻的一個環節。用戶在使用云的時候有一個客戶端，這個客戶端可能是一臺機器，可能也是一個云，也可能是一個瀏覽器，客戶端的安全也會給云安全帶來威脅。

還有，我們最近總說黑客技術越來越不如以前了，都開始搞坑蒙拐騙了，大家叫他社會公平學也罷，詐騙也罷，從我們遭遇的安全問題來說，這個上升的非常快。今天我來講，我不可能把這么多云安全問題全涉及到，我只對身份認證，賬號安全這一塊做簡單介紹。我的演講內容分三個部分：第一，賬號安全概述第二，賬號安全防御。防御方面我講的不是很全面，安全不是一個很單一的技術，是一套的解決方案，可能在每個環節上都要做一些措施，如果從頭講到尾可以講幾天。

第三，賬號安全的未來，賬號安全還有沒有未來。
賬號的定義：賬號代表用戶在服務實體擁有某種資格，我可以登錄上做什么，做什么，這個賬號如果被盜了，相當于他的資格被盜了。如果看到云計算的后臺口令被盜，整個云的安全就無法得到很好的保證。

賬號信息：一般包含大家比較了解的用戶名和password，實際上一個賬號信息，最基礎的信息除了這兩項之外，還包括手機號碼，以及身份認證之后一個tickit，不同的賬號有不同的信息，主流的就這些。

用于身份認證的一些賬號信息，用戶所知道的，他能記得住的，他只要人在哪里這個信息就可以攜帶到哪里。

還有一些他所擁有的，不一定每個人都記得住自己的身份號碼，他要拿一個身份證，拿一個令牌，我們看到很多運維人員都有一個令牌，但是我們很少看到普通用戶隨身帶一個令牌。現在銀行安全很多都是基于硬件令牌來做的，我們普通用戶很少帶，一個是容易丟，另外也不是天天買東西；還有一些認證信息是個人特征，比如說指紋、筆跡，指紋、筆跡傳統行業要用到，比如說IDC的機房也用到了指紋認證；還有聲音，聲音的認證在IT里面用得比較少，但是我們淘寶網正在探索，我們不會聲音作為一個認證技術，但是可以作為一個參考。

賬號常見安全問題：

1、賬號關鍵信息泄漏或被盜

2、賬號權限/身份被劫持

3、垃圾賬號注冊。這個對于普通用戶來說可能感覺不到這個安全問題，但是對于一個提供服務的實體來說，有海量的垃圾信息，垃圾賬號注冊進來，勢必會干擾到他提供的服務。

4、賬號被拒絕服務。這個在銀行見的比較多，有人會嘗試你的密碼，輸你的用戶名密碼，嘗試N次之后，銀行覺得太有危險了，把你的賬號暫時凍結了，這個賬號就被拒絕服務了。常見有這么幾類，其實我們最關心的普通用戶應該是前兩類，第一類是耳熟能詳，一講就明白的；第二類是偏技術了，普通人搞不太懂，可能就從業人員比較容易理解。

現在使用賬號密碼是最主流的身份認證方式，輸完用戶名密碼點登錄，就可以在網站上操作，這是最常見的方式。身份認證是賬號安全最關鍵的一個環節，你這個信息記在腦子里頭，如果不進行認證，永遠不會被泄漏，你只有在去認證，在暴光過程中才可能出現問題。

賬號安全防御將基于多種風險假設，我們假設賬號泄漏，泄漏之后怎么辦，假設黑客可以入侵我們的服務器，我們應該怎么辦；假設黑客已經將賬號盜取，并且登錄，已經得到權限，我們應該怎么辦？這是我們防御的時候應該思考的一些問題。

賬號安全問題現狀剛才說賬號的一個薄弱環節是身份認證，現在身份認證的一些基本類型：

1、基于口令的身份認證

2、Kerperos身份認證協議。基于口令的身份認證，現在大多數網站，或者是Web都是提供這樣的認證方式，一些機房、運維管理人員，他可能會用到kerperos這種協議，現在已經升級到V5版本。口令認證和Kerperos認證都有它的缺陷，我在09年的時候發現Kerperos的一個缺陷，其實它有一個linda到現在還沒暴出來。

3、基于X509的身份認證4、基于生物特征的身份認證每個認證方式，如果你去仔細了解它，或者說讓專業發覺漏洞的人去研究，可能發現一些問題。對于普通用戶來說，身份認證只是一個麻煩，對于高手來說可能形同虛設。

基于密碼的身份認證，一般會涉及到賬號名稱、密碼這兩條靜態信息，認證周期有一個客戶端輸入、網絡傳輸、服務端認證，認證后的一個分配權限。這幾個環節里頭每一個環節出現問題，都會導致賬號安全問題，前兩者有可能被泄漏，有的用戶覺得密碼是一個隱私，是不能泄漏的，但是對賬號不太注意。其實，賬號、密碼作為兩個因子，在認證的時候是一樣的，包括傳輸過程，客戶端的一些安全，這個涉及的層面比較多，也是整個安全行業長期對抗的一個安全問題。

密碼的特點：之前我們不太清楚密碼的特點，我們只能說密碼不能小于6位，因為小于6位的話，現在的計算技術非常快，可以暴力的去破解。

1、普通用戶平均只能記住7個密碼，而且這7個密碼里頭兩到三個是常用的，另外那三個不一定馬上想起來。我們以前經常看到一個安全側率，就是說要定期修改密碼，如果一個人只能記住兩個密碼，可能會把新密碼忘掉，這個賬號被自己封禁了。另外一種就是他改來改去就是這兩個密碼，等于沒改，在那里折騰，折騰的越多相當于密碼暴光的次數越多，本身更是不安全的事情。我個人非常反感讓我不停改密碼，對于普通用戶來說他做不到不停更換新的密碼，這是運維人員，這是專業人員應該做的，不應該要求普通用戶。

2、用戶在不同網站的用戶和密碼很大程度是相同的。這個相同我個人是沒辦法的，因為我不是負責網站的，就算我負責網站，我也不知道用戶不同密碼是什么，這很大程度上是一種猜測，或者最近網絡謠言四起，就說N個網站被泄漏，發現N個網站相同度很高。

3、70%以上用戶都在存儲介質上記錄過自己的密碼。

4、500種模式的弱口令就可以覆蓋82%的互聯網用戶。這個抽樣數據來源應該是5000萬的規模，這5000萬代表國內的活躍用戶程序，懂互聯網的人用500種密碼搞定82%的人，不懂安全的人可能是100%的命中率，一種模式是你的生日，19851212這種模式，但是另外一個用戶生日不一樣，每個人生日是不同的，但是隨著互聯網的發展，我們的數據天天在泄漏，我們就是追求極端的安全防御，但是泄漏是避免不了的，生日數據已經不是什么隱私了。假設有一天所有身份證信息被泄漏了，身份證信息又會包含生日信息，以生日信息做密碼的就非常危險。

當前階段密碼認證的安全威脅：1、至少90%以上的網站登錄過程都不適用https 2、黑客組織非法擁有大量賬號密碼數據3、密碼MD5和對應明文的字典數據4、網站登錄只做單向認證，用戶密碼容易被騙，什么是單向認證？我把密碼告訴你，你看一下來確認我的身份，但是我不知道你是不是我要找的那個人。這個體現在一些安全問題比如說釣魚網站，用戶并不知道這個網站是不是淘寶網，他可能把密碼輸進去，我們能做的是把單向認證改為雙向認證，單向認證，https是一種方向認證，但是https不管從AI上來講，還是用戶歐使用來上講，很難感覺是一個雙向的認證，還認為是單向的認證。

5、竊取身份證成功后的tickit比竊取密碼本身更加容易。從技術角度看，盜取一個tickit，要比盜取密碼更加容易，我們看到很多網站，國內的都不能例外，我們在登錄的采用的https傳輸的密碼是加密的，我們是破解不了的，但是一旦身份認證完成之后，https協議來換跳轉頁面，他買到的這個票tickit被人劫走，也容易盜取到密碼。

賬號被濫用的幾個主要途徑：

1、第三方泄漏

2、釣魚網站

3、口頭詐騙

為什么說第三方泄漏，我們不清楚是不是第三方泄漏，我們每天看到，我們在一兩年前就已經看到，有人拿著千萬級別的用戶密碼數據，來嘗試做登錄，我們做防御。如果一個黑客在攻一個系統，攻不下去的時候，可能會轉向弱的系統，當黑客嘗試完所有的網站之后，覺得沒有價值了，這個數據不值錢了，就便宜賣給別人。當有客戶直接操作的人，把這些數據專賣給垃圾消息的時候，這個數據就被泄漏了，從專業角度看，賬號泄漏絕對不是一個月之前的事情，而是一年前，兩年前，或者更久以前的事情。就算今天一個網站泄漏了，那也不明天被暴出來，而是價值利用的一點意義都沒有的時候再暴露出來。

SNS網站泄漏，是用的最多的，是黑客盯梢的重點。email網站泄漏，是現在常用的。我們的賬號體系大部分用中文名稱再登錄，就跟一個QQ號一樣，拿一個郵箱登錄QQ不太現實的，那個用戶除非他傻。我們也很有幸，我們的盜號量一直在下降，但是從外部來看盜號安全問題是嚴重的，今年沒有去年嚴重，只不過是今年利用完之后被扔出來了。

釣魚網站越來越猖獗，也是我們淘寶網重點防護的對象，釣魚網站有一個很大的特點，剛開始完全是騙子，到現在我完全可以注冊一個真的網站，我不模仿淘寶，你只要輸送用戶密碼，我送你100條短信。未來的釣魚網站沒有任何詐騙跡象，他就是一個普通網站讓你注冊，注冊完成之后就變成第三方泄漏，釣魚網站會向第三方靠攏。

口頭詐騙，是我們技術人員關注比較少的，從后臺數據來看，口頭詐騙這招屢試不爽，在賬號安全里面，我們最頭疼的不是黑客把數據破解了，一個用戶在能到一個電話之后，一步一步的操作，把資金轉給別人，這樣一些問題。這個問題暴露了基礎安全有待提高的現象，應該說就算是專業的從業人員，每個人的安全素質也是不一樣的，一個機房里面測試做得再好，如果他的保安人員意識特別差，高手來了也很容易進去。有人昨天給我開玩笑，搞IBC不需要什么高深的技術，拿一包炸藥，炸掉IBC大樓，什么事情都解決了。一個大樓被炸掉的風險究竟有多大，這個我們要評估，地震概率有多大，我們也要評估，我們做安全也不可能盡善盡美，就是安全的，賬號永遠不被泄漏，這個基本在理論上是不可能的，我們會評估我們的價值，我們該投入多少錢，風險有多大，帶來的損失有多大，然后評估。

賬號被濫用前三種是我們比較頭大的，之前通過木馬，或者漏洞，大家了解的比較多，我不多介紹了，從數據來看已經排到后面去了，現在木馬盜號，網游產業比較常見。

CNNIC調查報告，2011年上半年密碼被盜比例，如果一個用戶明確知道自己賬號被盜，這個意識還不錯的，基本上我的賬號被盜的時候，我是不知道的，高手是神不知鬼不覺的。這個調查已經說明了，我們有四分之一的用戶賬號被盜過。

二、賬號安全防御

1、服務端賬號信息防泄漏，我們怎么防信息泄漏？舉一個例子，我們家里500萬，怎么擔心這個錢丟，花兩萬塊錢買一個保險柜，傻子才會這樣做，人家直接把保險柜拎走就可以了。我們應該去做投資，做轉換。

2、身份認證協議改進。基于簡單口令的認證，適合不適合再這么搞下去，哪些認證協議應該全行業大家一起推廣，也是大家要思考的。

3、賬號權限票據的監控4、垃圾賬號注冊過濾服務端防泄漏：服務端不存儲明文，零知識認證過程。我的身份認證不能真的拿一個確切的身份信息，還是說我認證的過程中，不管是從開始到結束，對方是不知道我的具體信息的。
身份認證協議改進：多因素認證，加入一些其他認證條件，或者說我們身份證的這個升級大概這樣：口令認證、多因素認證、多因素雙向認證，你要驗證我，我也要驗證你一次。從安全成本來看，安全指數越高，成本越大。這就是一個企業如果要做這件事情它的難處。
淘寶用戶賬號安全產品、二次驗證產品，淘寶用戶安全業務架構，左邊羅列的安全風險，右邊是針對這些風險給用戶提供的一些工具，他可以選擇性的使用。中間是淘寶業務，買賣側重點不同，二次驗證。

一次性口令認證OTP，就是圖上面顯示的，有一個密碼，30秒鐘，或者一分鐘變一次的。
UsrKey，U盾之類的東西，是把密鑰放在一個U盾里，這個密鑰是不能被倒出的，把隨即事件加密，加密完成之后發送給服務器，服務器對應密鑰進行解密，如果解密了就OK了，如果解密不了這個密鑰就不對，不能進行身份認證。目前成熟的應用：網上銀行、支付寶、網游。但是問題也比較多，我們可以想像，一個人他出門的時候兜里面要放五六個U盾。

八卦盾二次驗證演示，Login直接吐二維碼，Ajax.

三、賬號安全未來低成本，高體驗，安全指數要求不是特別好，差不多，能夠把安全風險罩得住就可以。

賬號安全還有未來嗎？從賬號來看，用戶密碼來看是沒有未來的，互聯網過去20年泄漏1億賬號，如果是兩億已經很不錯了。如果100之后，我們的安全問題只會越來越嚴重，我們所有的技術改進，都可以說讓用戶用起來更舒服，更高效，效果更好了，唯有安全比以前更好了，以前輸六位密碼就可以了，現在要輸十幾位的密碼，而且一直發郵件讓我更改密碼。如果行業不努力，沒有人比我們努力，如果我們從事安全的，從事IT的人不努力，我們不去埋頭干，最后就是所有用戶一起承擔。

認證手段的增加：指紋：瞳孔、面部、DNA、擊鍵頻率（鍵盤芭蕾）、聲音，我覺得比較不錯的是擊鍵頻率，鍵盤芭蕾，每個人輸的密碼節奏不一樣，作為一個參考數據去認證，效果應該也不錯。還有一些聲音方面的，就是的聲音輸入非常方便，不久之后會有相關的產品出來，或者說這些除了生物技術之外，還有更多的，我希望有更多的廠商看到這個機會，推出更好的產品。

賬號安全趨勢：

1、減少密碼使用次數，業務無密碼化。讓用戶忘掉密碼，我們的業務也不要再用密碼了，我希望在不久的將來可以看到，在注冊一個網站的時候，不需要輸入密碼就可以注冊。

2、減少密碼因子在認證中的比重。如果密碼真的去不掉，在認證因子的比重應該是逐步降低，采取其他更好的手段來進行身份認證。

3、分級認證取代單一認證，我們現在的認證基本上都是單一認證，為了用戶體驗，為了省事兒，認證一次，后面的權限就全有了。支付密碼，是一個動態密碼，靜態的密碼都不是一個心里安慰，真正一個專業黑客，拿著一個500數據可以搞定82%的人均。
今天就講這么多內容，謝謝大家。