電子商務(wù)中密碼安全性研究

西安政治學(xué)院 鄒捷

2011年底，一場(chǎng)密碼泄露的風(fēng)暴席卷了互聯(lián)網(wǎng)，以知名程序員網(wǎng)站CSDN的600萬用戶賬號(hào)密碼以明碼方式泄露開始，天涯、多玩、人人網(wǎng)等多家大網(wǎng)站的用戶密碼也被傳到網(wǎng)上，給中國廣大的互聯(lián)網(wǎng)用戶帶來了極大的震動(dòng)。“城門失火殃及池魚”，由于大量用戶習(xí)慣使用相同的密碼登錄各種網(wǎng)站，盡管密碼事件涉及的網(wǎng)站以論壇、社交網(wǎng)為主，威脅最大的卻是一些重要的網(wǎng)站，如微博、郵箱，特別是電子商務(wù)網(wǎng)站。本文就這場(chǎng)危機(jī)中暴露出的密碼安全性問題進(jìn)行了研究。

1 電子商務(wù)中密碼的重要性

電子商務(wù)是一種利用互聯(lián)網(wǎng)，交易雙方不謀面地完成各種交易活動(dòng)的新型商業(yè)運(yùn)營模式。由于電子商務(wù)具有交易不見面、依托互聯(lián)網(wǎng)、涉及到真實(shí)金額等特點(diǎn)，歷來都是破解攻擊者的最愛，因此可靠的、安全的交易是電子商務(wù)的前提和基礎(chǔ)。為了保障電子商務(wù)的安全，采用了基于數(shù)據(jù)加密技術(shù)的報(bào)文摘要、數(shù)字簽名、數(shù)字證書及安全交易協(xié)議等一系列手段，實(shí)現(xiàn)了電子商務(wù)交易中信息的保密性、完整性、不可抵賴性和身份的確定性。但是，在整個(gè)安全保障體系中，無法取代的是密碼這一“古老”的安全手段。密碼既是最基本的安全措施，也是最重要的安全措施。當(dāng)前各大主流電子商務(wù)網(wǎng)站，只要有賬號(hào)和密碼，就可以登錄進(jìn)入網(wǎng)站，查看歷史的交易記錄，輕易了解和修改用戶資料，甚至可以進(jìn)行冒名交易、轉(zhuǎn)賬或提現(xiàn)等?？梢姡艽a是電子商務(wù)安全中至關(guān)重要的一個(gè)環(huán)節(jié)。但是，密碼的設(shè)置、管理，依賴個(gè)人的信息安全意識(shí)和操作水平。由于電子商務(wù)的用戶群巨大，信息素養(yǎng)水平參差不齊，大量的用戶的密碼存在安全隱患，使密碼問題成為當(dāng)前電子商務(wù)安全的“短板”。

2 當(dāng)前密碼管理的問題

2.1 密碼安全性不足

很多人為了方便記憶，使用比較簡(jiǎn)單的數(shù)字或者字母組合來設(shè)置密碼，這些密碼容易被人猜測(cè)到或者被破解工具破解，往往被稱為“弱口令”(weak password)。美國密碼管理應(yīng)用提供商SplashData總結(jié)發(fā)布了2011年度最差的25個(gè)密碼的榜單，password排名第一，后面依次包括123456、12345678、qwerty、abc123、monkey、1234567、letmein等密碼。這些密碼多為鍵盤上的臨近鍵組合或常見單詞，毫無疑問都是非常危險(xiǎn)的。

在密碼事件中，網(wǎng)上流傳著很多網(wǎng)站的用戶密碼庫的打包文件，里面有海量的賬戶密碼信息，經(jīng)驗(yàn)證其中的某些賬戶仍然可以使用。通過對(duì)其中一個(gè)知名社交網(wǎng)站的密碼庫進(jìn)行分析，發(fā)現(xiàn)中國的網(wǎng)絡(luò)用戶在弱口令的設(shè)置上的與國外相比不相上下，同時(shí)也有自己的一些特點(diǎn)。在總共2275351個(gè)密碼樣本中，按重復(fù)次數(shù)排名前十的密碼分別是：123456、123456789、0、111111、12345、5201314、123123、123、12345678、1314520。其中，第一名的123456共有107564人使用。與美國的常用弱口令相比，中國用戶明顯喜歡用數(shù)字，排名最高的字母弱口令是第15名的woaini，被2014人使用。對(duì)密碼庫進(jìn)行進(jìn)一步的分析，發(fā)現(xiàn)弱口令主要有以下幾類：

第一類弱口令是非常容易記憶的密碼，包括有：(1)有規(guī)律的數(shù)字串，如123456、111111等。(2)鍵盤上的相鄰按鍵，如zxcvbnm、asdasd、qazwsx、qwerty、159753等。(3)數(shù)字諧音，如5201314、1314520等。(4)簡(jiǎn)單的拼音，如woaini、woaini1314、ILOVEYOU等。

第二類是日期型密碼，往往以個(gè)人或家人的生日或重要紀(jì)念日為密碼。分析數(shù)據(jù)時(shí)，僅僅按照年月日的模式在樣本庫中查找，就匹配了159129個(gè)密碼，占總數(shù)的6.99%。

第三類是以電話號(hào)碼為密碼。在所有樣本中，僅以手機(jī)號(hào)碼為密碼的就有39977個(gè)，占了1.75%。使用座機(jī)號(hào)碼或者部分手機(jī)號(hào)碼的情況，則就更多了。

2.2 密碼管理不當(dāng)

互聯(lián)網(wǎng)上的內(nèi)容豐富，郵箱、論壇、博客、社交網(wǎng)等網(wǎng)站數(shù)不勝數(shù)，每個(gè)人可能都會(huì)有自己喜好的網(wǎng)站。如何管理好眾多不同網(wǎng)站的賬號(hào)和密碼，也是事關(guān)安全的重要問題。出于方便記憶的原因，很多人習(xí)慣使用同一個(gè)賬號(hào)名和密碼來注冊(cè)不同的網(wǎng)站。這樣做的風(fēng)險(xiǎn)在于：即使密碼自身的強(qiáng)度再強(qiáng)，但如果注冊(cè)的某一個(gè)網(wǎng)站不可信或因安全性不足被攻破，導(dǎo)致密碼泄露的話，那么，其他所有的使用該密碼的網(wǎng)站都變得不再安全了。

2.3 網(wǎng)站安全性不足

除了用戶的問題，一些網(wǎng)站由于自身技術(shù)實(shí)力、管理水平的不足，也存在極大風(fēng)險(xiǎn)。表現(xiàn)為兩個(gè)方面：一是密碼用明碼的方式保存，為了開發(fā)、調(diào)試程序的方便，對(duì)于用戶密碼不加密就保存在數(shù)據(jù)庫中，使這些機(jī)密信息隨時(shí)都有暴露的危險(xiǎn)。二是服務(wù)器的管理不完善，安全防護(hù)水平低，易被黑客入侵，將用戶信息竊走。

3 當(dāng)前電子商務(wù)面臨的主要威脅

3.1 拖庫

拖庫是指數(shù)據(jù)庫程序員將數(shù)據(jù)庫中的數(shù)據(jù)導(dǎo)出的行為，也被黑客們特指為成功入侵服務(wù)器后，將數(shù)據(jù)庫中用戶信息導(dǎo)出的行為。和常規(guī)的掛馬、釣魚等安全威脅手段不同，拖庫的目標(biāo)不再是每個(gè)用戶的個(gè)體，而是服務(wù)器。一旦服務(wù)器被攻破，那么所有的賬號(hào)和密碼就全部被得到了?？梢?，黑客攻擊后進(jìn)行拖庫的危害更甚于其他的方式。

3.2 結(jié)合字典的暴力破解

暴力破解即窮舉法破解，是一種針對(duì)于密碼的破譯方法，即將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止。暴力破解成功率與構(gòu)成密碼的字符集的范圍密切相關(guān)。被大量用戶喜歡的純數(shù)字密碼，由于字符集只有10個(gè)數(shù)字，所以對(duì)暴力破解而言是最快被破解的密碼。字符集一般分為數(shù)字、小寫字母、大寫字母、符號(hào)等不同的種類，設(shè)置密碼時(shí)，使用的字符類別種類越多、長度越長，密碼就越安全，越不容易被暴力破解。哪怕向純數(shù)字密碼中加入一個(gè)字母，由于字符集變?yōu)樽帜讣訑?shù)字，共36個(gè)字符，那么暴力破解的時(shí)間將大大增加，被暴力破解的可能性就降低了很多。

為了縮短試誤時(shí)間，有人將常用的、可能被使用的密碼組成一個(gè)密碼字典，使用字典來縮小密碼組合的范圍。通過密碼事件或者其他途徑得到的密碼庫，完全可能被黑客用于構(gòu)造密碼字典，大量的簡(jiǎn)單重復(fù)密碼可以直接被加入字典。同時(shí)，對(duì)于日期密碼也可以根據(jù)可能的時(shí)間范圍和時(shí)間格式，構(gòu)造出一個(gè)有限的字典。這樣的密碼字典，將能夠非常有效地提高破解密碼的成功率。

3.3 社會(huì)工程學(xué)攻擊

社會(huì)工程學(xué)(Social Engineering)是一種黑客手段，通過對(duì)受害者心理弱點(diǎn)、本能反應(yīng)、好奇心、信任、貪婪等心理陷阱進(jìn)行諸如欺騙、傷害等危害手段，取得自身利益。社會(huì)工程學(xué)攻擊的最大特點(diǎn)是不以日益完善的信息系統(tǒng)為攻擊目標(biāo)，而以信息系統(tǒng)的使用者——人作為攻擊對(duì)象。相對(duì)于機(jī)器或者軟件而言，人存在著更多的弱點(diǎn)，因而社會(huì)工程學(xué)攻擊是非常有效的。近年來利用社會(huì)工程學(xué)手段，突破信息安全防御措施的事件，已經(jīng)呈現(xiàn)出上升甚至泛濫的趨勢(shì)。社會(huì)工程學(xué)攻擊者在攻擊前會(huì)盡量搜集、挖掘被攻擊者的全面的個(gè)人信息，如生日、電話、住址、愛好、郵箱、QQ號(hào)、職業(yè)、常去網(wǎng)站、親屬朋友情況等。利用這些信息，按照密碼設(shè)置的一些習(xí)慣進(jìn)行組合，從而生成字典進(jìn)行破解。對(duì)很多喜歡用一些個(gè)人私有信息如生日、電話號(hào)碼、家人信息等來設(shè)置密碼的人而言，一旦被社會(huì)工程學(xué)攻擊，個(gè)人信息被掌握后，密碼也就暴露無遺了。

4 結(jié)語

隨著電子商務(wù)的日益普及，密碼的安全性問題越來越成為一個(gè)影響到電子商務(wù)安全的重要風(fēng)險(xiǎn)。只有提高全民的信息安全意識(shí)，加強(qiáng)網(wǎng)站的安全防范水平，才能從根本上解決這一問題。

[1]楊天宇.電子商務(wù)概論[M].復(fù)旦大學(xué)出版社,2006.

[2]Atul Kahate.密碼學(xué)與網(wǎng)絡(luò)安全[M].邱仲潘等譯.北京:清華大學(xué)出版社,2005.