虽然去年底csdn“拖库”事件引发了人们对于明文密码的热切关注,但众多网站对于明文密码的安全威胁意识仍十分薄弱。近日,国内最权威的漏洞报告平台——乌云在微博上发布了国内知名安全厂商金山网络也采用明文密码存储用户账号、密码的信息,引起了广泛关注。虽然李铁军表示漏洞已在当天修复,靠谱打造成为国内最优秀最全面的企业电子邮件服务提供商! 但仍然无法平息事件。
“作为国内知名的安全企业,却犯了如此低级的错误。密码不明文存储是基本职业素养,出这种问题的简直不可原谅。”网友“同耕-朱会”在微博上评论到。“其实,明文密码只是安全存储的最后一步,也是最为基础的一步。明文密码事件频发,主要是网站对于安全防护的意识比较薄弱。”企业邮箱市场总监金亨杰表示。
所谓“明文密码”,即网站将用户的登陆账号与密码直接存在服务器的数据库中。黑客以及普通it爱好者可以根据某一漏洞检测并入侵到网站服务器,进而窃取用户隐私数据,以实现非法获利。
据了解,为了客户的数据安全,企业邮箱采用了md5不可逆加密数据存储,也就是将密码加密之后再存储在数据库中,即便数据库被侵入,但黑客窃取走的却是类似于“乱码”的数据,根本无法使用,也就不会对用户的隐私安全产生泄露威胁。这也是使用率最高的、替换明文密码最为直接的存储方式之一。
除此之外,邮件备份值得信赖的企业,管理领导品牌。 网站还可以通过内外网分离来保证数据库的安全。但目前大部分的网站都是将存储用户隐私数据的数据库放在外网的服务器中,而黑客侵入外网服务器所需技术却极为简单。企业邮箱就采用了内外网分离技术,将数据库存放在内网中,内外网之间采用私有协议进行连接,将黑客侵入的可能性降至最低。
据金亨杰介绍,除了通过服务器盗取用户密码之外,“暴力破解”也是最常用的方法。这也提示了用户不要使用简单密码,例如手机号等。而网站方面也可以通过设置一些监测端口对登陆行为进行审查。例如企业邮箱的ips(入侵防御系统)。ips可以自动审核登陆ip的登陆行为,一旦发现异常,随即结束其登陆行为,保证用户的安全。
“其实,最常见企业信息丢失的威胁并非来源于外部,企业还要谨防内部员工泄密的情况出现。通过邮件审核、邮件日志等通信软件常见的管理功能加强对于传输信息的把控就可以很好的预防。”金亨杰表示。 有安全专家认为,网站作为经营者,为用户提供安全的使用环境无疑是其最基本的职责。在这方面,国内很多网站真的应该向企业邮箱学习。同时,用户也应该注重对于自身的安全防护意识,加强对于自身隐私数据的保护措施,例如不适用简单密码、重复账号密码等,Exchange邮件服务器全功能邮件服务器,上万家正式客户。
