9月29日,教育部官網(wǎng)通過媒體再次向公眾保證了IME沒有任何信息泄漏。這是繼5月30日在教育部官網(wǎng)專門就“教育技術(shù)服務(wù)平臺”APP公開發(fā)布關(guān)于“全國教育技術(shù)服務(wù)平臺”有關(guān)問題答復(fù)后,又一次強調(diào)了學(xué)生信息的安全性。(編者按:本文作者是生物識別安全領(lǐng)域從業(yè)者。)
據(jù)教育部在9月29日向媒體披露的數(shù)字,全國中小學(xué)生學(xué)籍信息管理系統(tǒng)目前已完成1.9億學(xué)生信息入庫,并且該數(shù)字會一直增加,最終覆蓋全國28萬多所學(xué)校,所有的信息都要通過“教育技術(shù)服務(wù)平臺”(簡稱“IME")的應(yīng)用進行上傳。
“不經(jīng)意”的嘗試,小白如何獲取"IME"的管理員賬號?
我本想親身體驗一下這款超級應(yīng)用,卻發(fā)現(xiàn)需要使用學(xué)生的注冊碼才能注冊使用。
由于無法登錄進行體驗,于是我希望通過搜索引擎尋找其他詳細信息,卻無意中在某處發(fā)現(xiàn)一份介紹“IME”使用方法的文檔中有一張這樣的圖片(注:原圖不帶馬賽克)
圖片中暴露了使用者的帳號和密碼位數(shù)為六位數(shù),于是我猜測這個密碼可能是很常見的弱密碼123456,結(jié)果在嘗試之后居然成功登錄:
并且我發(fā)現(xiàn)這款軟件并沒有設(shè)置驗證碼和任何限制重復(fù)登錄的措施,于是使用123456作為密碼嘗試其他相近的帳號,看看有沒有更多的人使用123456作為密碼。結(jié)果在嘗試短短幾分鐘的手動輸入后,居然成功登錄了3個帳號,均為管理員。
隨后,我已向相關(guān)部門反饋了弱口令問題的情況,但同時也引發(fā)了相關(guān)的思考:
一方面,IME的用戶自身安全意識不強,使用簡單密碼導(dǎo)致帳號可能被盜;
另一方面也暴露了該應(yīng)用在信息安全方面的不完善。
按照上面的操作,即使是一個不懂任何黑客技術(shù)的小白,也可能可以通過單純嘗試就成功登錄管理人員的帳號。如果是黑客通過撞庫、社工或是暴力破解等手段進行大規(guī)模嘗試,后果可想而知,一旦引發(fā)大規(guī)模的信息泄漏事件,責(zé)任由誰來擔(dān)?
用戶因弱口令問題泄漏信息,誰負責(zé)?
弱口令,也就是簡單密碼,如今已經(jīng)成為了網(wǎng)絡(luò)安全問題中最常見、危害最大、也是最容易被黑客利用的問題。在網(wǎng)絡(luò)安全防范意識普遍較弱的今天,為圖方便而使用簡單密碼的做法很常見。
2011年發(fā)生的CSDN密碼明文泄漏事件中的統(tǒng)計數(shù)據(jù)顯示,純數(shù)字密碼超過2890000個,純小寫字母密碼超過740000個,123456789做密碼的超過230000。若不是親身試驗用123456登錄成功,原本我也并不太相信這些數(shù)據(jù)的真實性。
關(guān)于弱口令知識,可參考此前雷鋒網(wǎng)的科普文:密碼123456,意味著什么?
IME平臺賬號分為超級管理員、學(xué)籍系統(tǒng)管理員、學(xué)籍系統(tǒng)普通用戶三種類型。如果是因為管理員使用弱口令(前文中的幾個賬號均系管理員)而導(dǎo)致對應(yīng)的學(xué)生及家長信息泄漏,該由誰來負責(zé)呢?而一旦出現(xiàn)稍具規(guī)模的學(xué)生信息因泄漏而開始在網(wǎng)絡(luò)黑市流通,誰又能區(qū)分究竟是“IME"的運營公司“天天艾米”將學(xué)生信息用于商業(yè)用途,還是因為管理員的個人原因或黑客攻擊而導(dǎo)致的泄漏呢?恐怕到時候輿論又將“IME”的管理者推向風(fēng)口浪尖。
如何保護密碼安全?
關(guān)于類似該平臺出現(xiàn)的問題,此前我和前DNSPod創(chuàng)始人、網(wǎng)絡(luò)安全專家吳洪聲私底下聊過。他也提出了幾點看法:
”首先,如果不對登錄次數(shù)進行限制,就存在暴力破解的可能性(盡管“IME”要求在登陸十多次之后會要求輸入驗證碼,然而......你懂的);
其次,在申請賬號時應(yīng)當限制用戶密碼長度和復(fù)雜性,因為現(xiàn)在網(wǎng)民的安全意識普遍不高,所以如果應(yīng)用不主動限制的話,很多用戶圖方便好記就使用簡單密碼,留下隱患;
另外,你可以使用自己的設(shè)備登錄他人賬號,也說明該應(yīng)用沒有異地登陸保護、設(shè)備保護等風(fēng)控措施。"
關(guān)于解決方案,其實,對密碼復(fù)雜度進行限制、登陸入口設(shè)置驗證碼、設(shè)置異地登陸、設(shè)備保護等方式都可以提高賬號的安全性。生物識別技術(shù)近年來發(fā)展迅速,嘗試使用人臉、聲音、指紋識別來代替密碼登錄,也可以很好的解決該問題,用生物特征替代密碼是今后的趨勢。而吳洪聲本人現(xiàn)在自己創(chuàng)業(yè),推出用生物特征識別替代密碼的身份驗證產(chǎn)品——"洋蔥令牌“,也是基于這方面的考慮。
隨著生物識別技術(shù)的普及,越來越多的身份驗證場景開始使用生物識別,比如微信、手機百度中都已加入“聲音鎖”功能。作為一個擁有海量用戶和學(xué)生、家長隱秘信息的超級應(yīng)用IME,在賬號安全性方面還有待提高。
另一方面,用戶密碼使用習(xí)慣也直接決定了安全性,提高用戶防范意識方面,可以在推廣“IME”的同時加強對老師、家長及學(xué)生關(guān)于網(wǎng)絡(luò)安全知識的普及,起碼在要求用戶安裝使用"IME"時,提醒其注意相關(guān)網(wǎng)絡(luò)安全。
2014年,英國政府就曾發(fā)起YearofCode活動,鼓勵區(qū)域內(nèi)每一所學(xué)校至少教小學(xué)生們1小時基礎(chǔ)編程知識的活動。美國總統(tǒng)奧巴馬在今年年初也曾呼吁“每個美國人都應(yīng)學(xué)習(xí)編程”。
置疑之后,更應(yīng)理性對待
不知為何,但凡政府部門出的應(yīng)用,質(zhì)疑聲從來都少不了,鐵道部的12306如此,教育部的IME也是如此,我想即使“IME”真的集成“洋蔥令牌”這類用人臉、聲音、指紋等生物信息替代密碼以解決弱口令問題的產(chǎn)品功能,恐怕又會有人質(zhì)疑其“企圖收集用戶生物信息用于商業(yè)用途”。質(zhì)疑總會有,但不應(yīng)該阻止創(chuàng)新和進步。
無論存在多少輿論和質(zhì)疑,IME的出現(xiàn)不是偶然,而是我國互聯(lián)網(wǎng)和教育信息化發(fā)展到一定階段的結(jié)果。因為無論公眾存在多少質(zhì)疑,這樣一個平臺和應(yīng)用的出現(xiàn)確實能為教育從業(yè)者、家長和學(xué)生提供更好的服務(wù),也確實對我國教育信息化的進程起到很大的推進作用。