西安政治學(xué)院 鄒捷

2011年底，一場密碼泄露的風(fēng)暴席卷了互聯(lián)網(wǎng)，以知名程序員網(wǎng)站CSDN的600萬用戶賬號密碼以明碼方式泄露開始，天涯、多玩、人人網(wǎng)等多家大網(wǎng)站的用戶密碼也被傳到網(wǎng)上，給中國廣大的互聯(lián)網(wǎng)用戶帶來了極大的震動?！俺情T失火殃及池魚”，由于大量用戶習(xí)慣使用相同的密碼登錄各種網(wǎng)站，盡管密碼事件涉及的網(wǎng)站以論壇、社交網(wǎng)為主，威脅最大的卻是一些重要的網(wǎng)站，如微博、郵箱，特別是電子商務(wù)網(wǎng)站。本文就這場危機(jī)中暴露出的密碼安全性問題進(jìn)行了研究。

1 電子商務(wù)中密碼的重要性

電子商務(wù)是一種利用互聯(lián)網(wǎng)，交易雙方不謀面地完成各種交易活動的新型商業(yè)運營模式。由于電子商務(wù)具有交易不見面、依托互聯(lián)網(wǎng)、涉及到真實金額等特點，歷來都是破解攻擊者的最愛，因此可靠的、安全的交易是電子商務(wù)的前提和基礎(chǔ)。為了保障電子商務(wù)的安全，采用了基于數(shù)據(jù)加密技術(shù)的報文摘要、數(shù)字簽名、數(shù)字證書及安全交易協(xié)議等一系列手段，實現(xiàn)了電子商務(wù)交易中信息的保密性、完整性、不可抵賴性和身份的確定性。但是，在整個安全保障體系中，無法取代的是密碼這一“古老”的安全手段。密碼既是最基本的安全措施，也是最重要的安全措施。當(dāng)前各大主流電子商務(wù)網(wǎng)站，只要有賬號和密碼，就可以登錄進(jìn)入網(wǎng)站，查看歷史的交易記錄，輕易了解和修改用戶資料，甚至可以進(jìn)行冒名交易、轉(zhuǎn)賬或提現(xiàn)等?？梢?，密碼是電子商務(wù)安全中至關(guān)重要的一個環(huán)節(jié)。但是，密碼的設(shè)置、管理，依賴個人的信息安全意識和操作水平。由于電子商務(wù)的用戶群巨大，信息素養(yǎng)水平參差不齊，大量的用戶的密碼存在安全隱患，使密碼問題成為當(dāng)前電子商務(wù)安全的“短板”。

2 當(dāng)前密碼管理的問題

2.1 密碼安全性不足

很多人為了方便記憶，使用比較簡單的數(shù)字或者字母組合來設(shè)置密碼，這些密碼容易被人猜測到或者被破解工具破解，往往被稱為“弱口令”(weak password)。美國密碼管理應(yīng)用提供商SplashData總結(jié)發(fā)布了2011年度最差的25個密碼的榜單，password排名第一，后面依次包括123456、12345678、qwerty、abc123、monkey、1234567、letmein等密碼。這些密碼多為鍵盤上的臨近鍵組合或常見單詞，毫無疑問都是非常危險的。

在密碼事件中，網(wǎng)上流傳著很多網(wǎng)站的用戶密碼庫的打包文件，里面有海量的賬戶密碼信息，經(jīng)驗證其中的某些賬戶仍然可以使用。通過對其中一個知名社交網(wǎng)站的密碼庫進(jìn)行分析，發(fā)現(xiàn)中國的網(wǎng)絡(luò)用戶在弱口令的設(shè)置上的與國外相比不相上下，同時也有自己的一些特點。在總共2275351個密碼樣本中，按重復(fù)次數(shù)排名前十的密碼分別是：123456、123456789、0、111111、12345、5201314、123123、123、12345678、1314520。其中，第一名的123456共有107564人使用。與美國的常用弱口令相比，中國用戶明顯喜歡用數(shù)字，排名最高的字母弱口令是第15名的woaini，被2014人使用。對密碼庫進(jìn)行進(jìn)一步的分析，發(fā)現(xiàn)弱口令主要有以下幾類：

第一類弱口令是非常容易記憶的密碼，包括有：(1)有規(guī)律的數(shù)字串，如123456、111111等。(2)鍵盤上的相鄰按鍵，如zxcvbnm、asdasd、qazwsx、qwerty、159753等。(3)數(shù)字諧音，如5201314、1314520等。(4)簡單的拼音，如woaini、woaini1314、ILOVEYOU等。

第二類是日期型密碼，往往以個人或家人的生日或重要紀(jì)念日為密碼。分析數(shù)據(jù)時，僅僅按照年月日的模式在樣本庫中查找，就匹配了159129個密碼，占總數(shù)的6.99%。

第三類是以電話號碼為密碼。在所有樣本中，僅以手機(jī)號碼為密碼的就有39977個，占了1.75%。使用座機(jī)號碼或者部分手機(jī)號碼的情況，則就更多了。

2.2 密碼管理不當(dāng)

互聯(lián)網(wǎng)上的內(nèi)容豐富，郵箱、論壇、博客、社交網(wǎng)等網(wǎng)站數(shù)不勝數(shù)，每個人可能都會有自己喜好的網(wǎng)站。如何管理好眾多不同網(wǎng)站的賬號和密碼，也是事關(guān)安全的重要問題。出于方便記憶的原因，很多人習(xí)慣使用同一個賬號名和密碼來注冊不同的網(wǎng)站。這樣做的風(fēng)險在于：即使密碼自身的強度再強，但如果注冊的某一個網(wǎng)站不可信或因安全性不足被攻破，導(dǎo)致密碼泄露的話，那么，其他所有的使用該密碼的網(wǎng)站都變得不再安全了。

2.3 網(wǎng)站安全性不足

除了用戶的問題，一些網(wǎng)站由于自身技術(shù)實力、管理水平的不足，也存在極大風(fēng)險。表現(xiàn)為兩個方面：一是密碼用明碼的方式保存，為了開發(fā)、調(diào)試程序的方便，對于用戶密碼不加密就保存在數(shù)據(jù)庫中，使這些機(jī)密信息隨時都有暴露的危險。二是服務(wù)器的管理不完善，安全防護(hù)水平低，易被黑客入侵，將用戶信息竊走。

3 當(dāng)前電子商務(wù)面臨的主要威脅

3.1 拖庫

拖庫是指數(shù)據(jù)庫程序員將數(shù)據(jù)庫中的數(shù)據(jù)導(dǎo)出的行為，也被黑客們特指為成功入侵服務(wù)器后，將數(shù)據(jù)庫中用戶信息導(dǎo)出的行為。和常規(guī)的掛馬、釣魚等安全威脅手段不同，拖庫的目標(biāo)不再是每個用戶的個體，而是服務(wù)器。一旦服務(wù)器被攻破，那么所有的賬號和密碼就全部被得到了。可見，黑客攻擊后進(jìn)行拖庫的危害更甚于其他的方式。

3.2 結(jié)合字典的暴力破解

暴力破解即窮舉法破解，是一種針對于密碼的破譯方法，即將密碼進(jìn)行逐個推算直到找出真正的密碼為止。暴力破解成功率與構(gòu)成密碼的字符集的范圍密切相關(guān)。被大量用戶喜歡的純數(shù)字密碼，由于字符集只有10個數(shù)字，所以對暴力破解而言是最快被破解的密碼。字符集一般分為數(shù)字、小寫字母、大寫字母、符號等不同的種類，設(shè)置密碼時，使用的字符類別種類越多、長度越長，密碼就越安全，越不容易被暴力破解。哪怕向純數(shù)字密碼中加入一個字母，由于字符集變?yōu)樽帜讣訑?shù)字，共36個字符，那么暴力破解的時間將大大增加，被暴力破解的可能性就降低了很多。

為了縮短試誤時間，有人將常用的、可能被使用的密碼組成一個密碼字典，使用字典來縮小密碼組合的范圍。通過密碼事件或者其他途徑得到的密碼庫，完全可能被黑客用于構(gòu)造密碼字典，大量的簡單重復(fù)密碼可以直接被加入字典。同時，對于日期密碼也可以根據(jù)可能的時間范圍和時間格式，構(gòu)造出一個有限的字典。這樣的密碼字典，將能夠非常有效地提高破解密碼的成功率。

3.3 社會工程學(xué)攻擊

社會工程學(xué)(Social Engineering)是一種黑客手段，通過對受害者心理弱點、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益。社會工程學(xué)攻擊的最大特點是不以日益完善的信息系統(tǒng)為攻擊目標(biāo)，而以信息系統(tǒng)的使用者——人作為攻擊對象。相對于機(jī)器或者軟件而言，人存在著更多的弱點，因而社會工程學(xué)攻擊是非常有效的。近年來利用社會工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢。社會工程學(xué)攻擊者在攻擊前會盡量搜集、挖掘被攻擊者的全面的個人信息，如生日、電話、住址、愛好、郵箱、QQ號、職業(yè)、常去網(wǎng)站、親屬朋友情況等。利用這些信息，按照密碼設(shè)置的一些習(xí)慣進(jìn)行組合，從而生成字典進(jìn)行破解。對很多喜歡用一些個人私有信息如生日、電話號碼、家人信息等來設(shè)置密碼的人而言，一旦被社會工程學(xué)攻擊，個人信息被掌握后，密碼也就暴露無遺了。

4 結(jié)語

隨著電子商務(wù)的日益普及，密碼的安全性問題越來越成為一個影響到電子商務(wù)安全的重要風(fēng)險。只有提高全民的信息安全意識，加強網(wǎng)站的安全防范水平，才能從根本上解決這一問題。

[1]楊天宇.電子商務(wù)概論[M].復(fù)旦大學(xué)出版社,2006.

[2]Atul Kahate.密碼學(xué)與網(wǎng)絡(luò)安全[M].邱仲潘等譯.北京:清華大學(xué)出版社,2005.