精品国产一级在线观看,国产成人综合久久精品亚洲,免费一级欧美大片在线观看

“123456”可登錄教育部 1.9億學(xué)生信息如何安全?

責(zé)任編輯:editor006

作者:獬豸凌

2015-10-12 17:35:24

摘自:雷鋒網(wǎng)

9月29日,教育部官網(wǎng)通過媒體再次向公眾保證了IME沒有任何信息泄漏。你可以使用自己的設(shè)備登錄他人賬號,也說明該應(yīng)用沒有異地登陸保護、設(shè)備保護等風(fēng)控措施。

9月29日,教育部官網(wǎng)通過媒體再次向公眾保證了IME沒有任何信息泄漏。這是繼5月30日在教育部官網(wǎng)專門就“教育技術(shù)服務(wù)平臺”APP公開發(fā)布關(guān)于“全國教育技術(shù)服務(wù)平臺”有關(guān)問題答復(fù)后,又一次強調(diào)了學(xué)生信息的安全性。(編者按:本文作者是生物識別安全領(lǐng)域從業(yè)者。)

據(jù)教育部在9月29日向媒體披露的數(shù)字,全國中小學(xué)生學(xué)籍信息管理系統(tǒng)目前已完成1.9億學(xué)生信息入庫,并且該數(shù)字會一直增加,最終覆蓋全國28萬多所學(xué)校,所有的信息都要通過“教育技術(shù)服務(wù)平臺”(簡稱“IME")的應(yīng)用進行上傳。

“不經(jīng)意”的嘗試,小白如何獲取"IME"的管理員賬號?

我本想親身體驗一下這款超級應(yīng)用,卻發(fā)現(xiàn)需要使用學(xué)生的注冊碼才能注冊使用。

教育部登錄

由于無法登錄進行體驗,于是我希望通過搜索引擎尋找其他詳細信息,卻無意中在某處發(fā)現(xiàn)一份介紹“IME”使用方法的文檔中有一張這樣的圖片(注:原圖不帶馬賽克)

登錄教育部

圖片中暴露了使用者的帳號和密碼位數(shù)為六位數(shù),于是我猜測這個密碼可能是很常見的弱密碼123456,結(jié)果在嘗試之后居然成功登錄:

登錄教育部

并且我發(fā)現(xiàn)這款軟件并沒有設(shè)置驗證碼和任何限制重復(fù)登錄的措施,于是使用123456作為密碼嘗試其他相近的帳號,看看有沒有更多的人使用123456作為密碼。結(jié)果在嘗試短短幾分鐘的手動輸入后,居然成功登錄了3個帳號,均為管理員。

隨后,我已向相關(guān)部門反饋了弱口令問題的情況,但同時也引發(fā)了相關(guān)的思考:

一方面,IME的用戶自身安全意識不強,使用簡單密碼導(dǎo)致帳號可能被盜;

另一方面也暴露了該應(yīng)用在信息安全方面的不完善。

按照上面的操作,即使是一個不懂任何黑客技術(shù)的小白,也可能可以通過單純嘗試就成功登錄管理人員的帳號。如果是黑客通過撞庫、社工或是暴力破解等手段進行大規(guī)模嘗試,后果可想而知,一旦引發(fā)大規(guī)模的信息泄漏事件,責(zé)任由誰來擔(dān)?

用戶因弱口令問題泄漏信息,誰負責(zé)?

弱口令,也就是簡單密碼,如今已經(jīng)成為了網(wǎng)絡(luò)安全問題中最常見、危害最大、也是最容易被黑客利用的問題。在網(wǎng)絡(luò)安全防范意識普遍較弱的今天,為圖方便而使用簡單密碼的做法很常見。

2011年發(fā)生的CSDN密碼明文泄漏事件中的統(tǒng)計數(shù)據(jù)顯示,純數(shù)字密碼超過2890000個,純小寫字母密碼超過740000個,123456789做密碼的超過230000。若不是親身試驗用123456登錄成功,原本我也并不太相信這些數(shù)據(jù)的真實性。

關(guān)于弱口令知識,可參考此前雷鋒網(wǎng)的科普文:密碼123456,意味著什么?

IME平臺賬號分為超級管理員、學(xué)籍系統(tǒng)管理員、學(xué)籍系統(tǒng)普通用戶三種類型。如果是因為管理員使用弱口令(前文中的幾個賬號均系管理員)而導(dǎo)致對應(yīng)的學(xué)生及家長信息泄漏,該由誰來負責(zé)呢?而一旦出現(xiàn)稍具規(guī)模的學(xué)生信息因泄漏而開始在網(wǎng)絡(luò)黑市流通,誰又能區(qū)分究竟是“IME"的運營公司“天天艾米”將學(xué)生信息用于商業(yè)用途,還是因為管理員的個人原因或黑客攻擊而導(dǎo)致的泄漏呢?恐怕到時候輿論又將“IME”的管理者推向風(fēng)口浪尖。

如何保護密碼安全?

關(guān)于類似該平臺出現(xiàn)的問題,此前我和前DNSPod創(chuàng)始人、網(wǎng)絡(luò)安全專家吳洪聲私底下聊過。他也提出了幾點看法:

”首先,如果不對登錄次數(shù)進行限制,就存在暴力破解的可能性(盡管“IME”要求在登陸十多次之后會要求輸入驗證碼,然而......你懂的);

其次,在申請賬號時應(yīng)當限制用戶密碼長度和復(fù)雜性,因為現(xiàn)在網(wǎng)民的安全意識普遍不高,所以如果應(yīng)用不主動限制的話,很多用戶圖方便好記就使用簡單密碼,留下隱患;

另外,你可以使用自己的設(shè)備登錄他人賬號,也說明該應(yīng)用沒有異地登陸保護、設(shè)備保護等風(fēng)控措施。"

關(guān)于解決方案,其實,對密碼復(fù)雜度進行限制、登陸入口設(shè)置驗證碼、設(shè)置異地登陸、設(shè)備保護等方式都可以提高賬號的安全性。生物識別技術(shù)近年來發(fā)展迅速,嘗試使用人臉、聲音、指紋識別來代替密碼登錄,也可以很好的解決該問題,用生物特征替代密碼是今后的趨勢。而吳洪聲本人現(xiàn)在自己創(chuàng)業(yè),推出用生物特征識別替代密碼的身份驗證產(chǎn)品——"洋蔥令牌“,也是基于這方面的考慮。

隨著生物識別技術(shù)的普及,越來越多的身份驗證場景開始使用生物識別,比如微信、手機百度中都已加入“聲音鎖”功能。作為一個擁有海量用戶和學(xué)生、家長隱秘信息的超級應(yīng)用IME,在賬號安全性方面還有待提高。

另一方面,用戶密碼使用習(xí)慣也直接決定了安全性,提高用戶防范意識方面,可以在推廣“IME”的同時加強對老師、家長及學(xué)生關(guān)于網(wǎng)絡(luò)安全知識的普及,起碼在要求用戶安裝使用"IME"時,提醒其注意相關(guān)網(wǎng)絡(luò)安全。

2014年,英國政府就曾發(fā)起YearofCode活動,鼓勵區(qū)域內(nèi)每一所學(xué)校至少教小學(xué)生們1小時基礎(chǔ)編程知識的活動。美國總統(tǒng)奧巴馬在今年年初也曾呼吁“每個美國人都應(yīng)學(xué)習(xí)編程”。

置疑之后,更應(yīng)理性對待

不知為何,但凡政府部門出的應(yīng)用,質(zhì)疑聲從來都少不了,鐵道部的12306如此,教育部的IME也是如此,我想即使“IME”真的集成“洋蔥令牌”這類用人臉、聲音、指紋等生物信息替代密碼以解決弱口令問題的產(chǎn)品功能,恐怕又會有人質(zhì)疑其“企圖收集用戶生物信息用于商業(yè)用途”。質(zhì)疑總會有,但不應(yīng)該阻止創(chuàng)新和進步。

無論存在多少輿論和質(zhì)疑,IME的出現(xiàn)不是偶然,而是我國互聯(lián)網(wǎng)和教育信息化發(fā)展到一定階段的結(jié)果。因為無論公眾存在多少質(zhì)疑,這樣一個平臺和應(yīng)用的出現(xiàn)確實能為教育從業(yè)者、家長和學(xué)生提供更好的服務(wù),也確實對我國教育信息化的進程起到很大的推進作用。

鏈接已復(fù)制,快去分享吧

企業(yè)網(wǎng)版權(quán)所有?2010-2024 京ICP備09108050號-6京公網(wǎng)安備 11010502049343號

  • <menuitem id="jw4sk"></menuitem>

    1. <form id="jw4sk"><tbody id="jw4sk"><dfn id="jw4sk"></dfn></tbody></form>
      主站蜘蛛池模板: 昭平县| 荔浦县| 阜城县| 福州市| 会理县| 抚松县| 同江市| 乌兰浩特市| 义乌市| 清原| 安顺市| 玉树县| 华宁县| 尚志市| 德保县| 庆城县| 南宫市| 平湖市| 宁德市| 新密市| 宜丰县| 灵宝市| 延津县| 曲阜市| 扶沟县| 丹阳市| 阜南县| 宁武县| 江城| 惠来县| 恩施市| 江都市| 揭阳市| 东光县| 达州市| 观塘区| 玉龙| 吴旗县| 乳源| 特克斯县| 临汾市|