密碼泄露門(mén)持續(xù)發(fā)酵 黑客盜信息成本低是禍?zhǔn)?

????正逢歲末新初，持續(xù)不斷的網(wǎng)絡(luò)泄密事件震動(dòng)了中國(guó)互聯(lián)網(wǎng)界。從CSDN密碼泄露開(kāi)始，到天涯、當(dāng)當(dāng)、京東、卓越等很多網(wǎng)站都不能幸免于難，其中數(shù)千萬(wàn)用戶(hù)密碼遭泄露。

????在“3W咖啡”與鳳凰網(wǎng)科技合作的“網(wǎng)絡(luò)泄露門(mén)”沙龍上，相關(guān)專(zhuān)家認(rèn)為，此次大規(guī)模密碼泄露，暴露出目前我國(guó)安全領(lǐng)域存在的問(wèn)題：國(guó)內(nèi)企業(yè)安全意識(shí)差，以致黑客盜取密碼成本低。此外，國(guó)內(nèi)相關(guān)法律法規(guī)的欠缺，也在一定程度上阻礙了企業(yè)安全意識(shí)的提高。

????黑客盜取信息成本很低

????此次密碼泄露事件，規(guī)模如此之大前所未有，而受害用戶(hù)達(dá)千萬(wàn)，這充分暴露出我國(guó)互聯(lián)網(wǎng)企業(yè)安全意識(shí)非常薄弱，而表現(xiàn)出來(lái)就是在網(wǎng)絡(luò)安全上投入很少，給了黑客可乘之機(jī)，黑客只要用很低的“攻擊”成本就可以大量獲得非法利益。

????“如果一個(gè)網(wǎng)站在安全上投入10元，那么黑客可能需要100塊錢(qián)去‘破解’，如果投入1萬(wàn)，那么黑客的成本就是100萬(wàn)”，網(wǎng)絡(luò)安全公司“知道創(chuàng)宇”創(chuàng)始人趙偉表示，目前國(guó)內(nèi)網(wǎng)站就是處于投入“10元”的階段。

????由此可見(jiàn)，受到黑客攻擊的企業(yè)從某方面來(lái)說(shuō)其實(shí)是有著不可推卸的責(zé)任，趙偉表示，很多企業(yè)在建立之初，并沒(méi)有意識(shí)到“安全維護(hù)”這個(gè)問(wèn)題，也沒(méi)有給予足夠重視。

????除此之外，此次事件發(fā)生還有兩個(gè)因素，一方面是黑客的趨利化，有利益因素在里面，同時(shí)，網(wǎng)絡(luò)安全方面的人才匱乏，“黑（黑客）白（安全領(lǐng)域）兩道”的人才博弈也是密碼泄露的原因。騰訊桌面安全事業(yè)部高級(jí)產(chǎn)品經(jīng)理張昕表示。

????張昕進(jìn)一步表示，這就需要網(wǎng)站培養(yǎng)安全意識(shí)，同時(shí)應(yīng)該聽(tīng)取安全專(zhuān)家的建議，使網(wǎng)站安全能夠更進(jìn)一步。金山安全反病毒工程師李鐵軍也表示，企業(yè)間也應(yīng)該建立完備的安全標(biāo)準(zhǔn)，從根源上解決安全問(wèn)題。

????國(guó)內(nèi)相關(guān)法律法規(guī)欠缺

????密碼泄露事件，除了暴露出網(wǎng)站安全意識(shí)差，黑客盜取信息成本低，也反映出我國(guó)互聯(lián)網(wǎng)信息保護(hù)相關(guān)法律法規(guī)并不健全。

????在討論該問(wèn)題時(shí)，張昕、趙偉、李鐵軍等一致認(rèn)為，網(wǎng)站之所以安全意識(shí)差，密碼泄露成本低，也正是和國(guó)內(nèi)個(gè)人信息保護(hù)相關(guān)立法欠缺有關(guān)。在國(guó)外，如果用戶(hù)的信息被盜，那么相關(guān)網(wǎng)站要承擔(dān)更多的責(zé)任，用戶(hù)可以直接向網(wǎng)站索賠損失。而國(guó)內(nèi)則不然，密碼被盜后，相關(guān)網(wǎng)站只是對(duì)網(wǎng)民道歉或者提醒修改密碼，法律并沒(méi)有對(duì)網(wǎng)站泄露密碼的責(zé)任做過(guò)多規(guī)定。

????據(jù)了解，目前我國(guó)很多法律，比如《刑法（修正案七）》、《互聯(lián)網(wǎng)信息服務(wù)管理辦法》、《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》等都有涉及個(gè)人信息法律保護(hù)的內(nèi)容。

????以《計(jì)算機(jī)信息網(wǎng)絡(luò)國(guó)際聯(lián)網(wǎng)安全保護(hù)管理辦法》為例，其中第二十一條規(guī)定，未建立安全保護(hù)管理制度的；未采取安全技術(shù)保護(hù)措施的；未對(duì)網(wǎng)絡(luò)用戶(hù)進(jìn)行安全教育和培訓(xùn)的……由公安機(jī)關(guān)責(zé)令限期改正，給予警告，有違法所得的，沒(méi)收違法所得；……；情節(jié)嚴(yán)重的，并可以給予六個(gè)月以?xún)?nèi)的停止聯(lián)網(wǎng)、停機(jī)整頓的處罰……但是其中并未提到用戶(hù)因網(wǎng)站遭受黑客攻擊密碼泄露，或者用戶(hù)因此受到損失，網(wǎng)站應(yīng)該承擔(dān)怎么樣的責(zé)任。

????同時(shí)，在我國(guó)司法實(shí)踐中，也沒(méi)有真正由于密碼泄露網(wǎng)站被判罰網(wǎng)站相關(guān)案例，工信部電信研究院法律專(zhuān)家蔡雄山說(shuō)，我國(guó)目前相關(guān)立法中還“存在個(gè)人信息內(nèi)涵不清晰、個(gè)人信息收集處理程序不完備、 執(zhí)法手段、處罰措施不足等問(wèn)題?！?/p>

????對(duì)此，業(yè)內(nèi)人士呼吁，希望國(guó)內(nèi)相關(guān)部門(mén)出臺(tái)相關(guān)法律法規(guī)，先對(duì)互聯(lián)網(wǎng)企業(yè)在安全方面進(jìn)行約束，比如一定要有相關(guān)的基本網(wǎng)絡(luò)安全方案的才可以注冊(cè)，或者一旦用戶(hù)因信息泄密而造成利益損失時(shí)，被泄密的互聯(lián)網(wǎng)企業(yè)要擔(dān)責(zé)，直接對(duì)用戶(hù)進(jìn)行賠付等，希望通過(guò)法規(guī)要求，從根本上讓互聯(lián)網(wǎng)企業(yè)能夠重視起網(wǎng)絡(luò)安全，從而使整個(gè)行業(yè)的安全水準(zhǔn)有很大的提高。

????小貼士：

????1、應(yīng)每隔一段時(shí)間就定時(shí)更換所有密碼。同時(shí)，不要在多個(gè)網(wǎng)站使用同一密碼，

????2、在網(wǎng)上注冊(cè)的時(shí)候應(yīng)盡可能少地透露自己的個(gè)人資料，包括電話、住址等

????3、設(shè)置網(wǎng)站密碼時(shí)，應(yīng)至少在8位以上，數(shù)字、字母和特殊符號(hào)混合，加強(qiáng)密碼強(qiáng)度。