电子商务中密码安全性研究

西安政治学院 邹捷

2011年底，一场密码泄露的风暴席卷了互联网，以知名程序员网站CSDN的600万用户账号密码以明码方式泄露开始，天涯、多玩、人人网等多家大网站的用户密码也被传到网上，给中国广大的互联网用户带来了极大的震动。“城门失火殃及池鱼”，由于大量用户习惯使用相同的密码登录各种网站，尽管密码事件涉及的网站以论坛、社交网为主，威胁最大的却是一些重要的网站，如微博、邮箱，特别是电子商务网站。本文就这场危机中暴露出的密码安全性问题进行了研究。

1 电子商务中密码的重要性

电子商务是一种利用互联网，交易双方不谋面地完成各种交易活动的新型商业运营模式。由于电子商务具有交易不见面、依托互联网、涉及到真实金额等特点，历来都是破解攻击者的最爱，因此可靠的、安全的交易是电子商务的前提和基础。为了保障电子商务的安全，采用了基于数据加密技术的报文摘要、数字签名、数字证书及安全交易协议等一系列手段，实现了电子商务交易中信息的保密性、完整性、不可抵赖性和身份的确定性。但是，在整个安全保障体系中，无法取代的是密码这一“古老”的安全手段。密码既是最基本的安全措施，也是最重要的安全措施。当前各大主流电子商务网站，只要有账号和密码，就可以登录进入网站，查看历史的交易记录，轻易了解和修改用户资料，甚至可以进行冒名交易、转账或提现等。可见，密码是电子商务安全中至关重要的一个环节。但是，密码的设置、管理，依赖个人的信息安全意识和操作水平。由于电子商务的用户群巨大，信息素养水平参差不齐，大量的用户的密码存在安全隐患，使密码问题成为当前电子商务安全的“短板”。

2 当前密码管理的问题

2.1 密码安全性不足

很多人为了方便记忆，使用比较简单的数字或者字母组合来设置密码，这些密码容易被人猜测到或者被破解工具破解，往往被称为“弱口令”(weak password)。美国密码管理应用提供商SplashData总结发布了2011年度最差的25个密码的榜单，password排名第一，后面依次包括123456、12345678、qwerty、abc123、monkey、1234567、letmein等密码。这些密码多为键盘上的临近键组合或常见单词，毫无疑问都是非常危险的。

在密码事件中，网上流传着很多网站的用户密码库的打包文件，里面有海量的账户密码信息，经验证其中的某些账户仍然可以使用。通过对其中一个知名社交网站的密码库进行分析，发现中国的网络用户在弱口令的设置上的与国外相比不相上下，同时也有自己的一些特点。在总共2275351个密码样本中，按重复次数排名前十的密码分别是：123456、123456789、0、111111、12345、5201314、123123、123、12345678、1314520。其中，第一名的123456共有107564人使用。与美国的常用弱口令相比，中国用户明显喜欢用数字，排名最高的字母弱口令是第15名的woaini，被2014人使用。对密码库进行进一步的分析，发现弱口令主要有以下几类：

第一类弱口令是非常容易记忆的密码，包括有：(1)有规律的数字串，如123456、111111等。(2)键盘上的相邻按键，如zxcvbnm、asdasd、qazwsx、qwerty、159753等。(3)数字谐音，如5201314、1314520等。(4)简单的拼音，如woaini、woaini1314、ILOVEYOU等。

第二类是日期型密码，往往以个人或家人的生日或重要纪念日为密码。分析数据时，仅仅按照年月日的模式在样本库中查找，就匹配了159129个密码，占总数的6.99%。

第三类是以电话号码为密码。在所有样本中，仅以手机号码为密码的就有39977个，占了1.75%。使用座机号码或者部分手机号码的情况，则就更多了。

2.2 密码管理不当

互联网上的内容丰富，邮箱、论坛、博客、社交网等网站数不胜数，每个人可能都会有自己喜好的网站。如何管理好众多不同网站的账号和密码，也是事关安全的重要问题。出于方便记忆的原因，很多人习惯使用同一个账号名和密码来注册不同的网站。这样做的风险在于：即使密码自身的强度再强，但如果注册的某一个网站不可信或因安全性不足被攻破，导致密码泄露的话，那么，其他所有的使用该密码的网站都变得不再安全了。

2.3 网站安全性不足

除了用户的问题，一些网站由于自身技术实力、管理水平的不足，也存在极大风险。表现为两个方面：一是密码用明码的方式保存，为了开发、调试程序的方便，对于用户密码不加密就保存在数据库中，使这些机密信息随时都有暴露的危险。二是服务器的管理不完善，安全防护水平低，易被黑客入侵，将用户信息窃走。

3 当前电子商务面临的主要威胁

3.1 拖库

拖库是指数据库程序员将数据库中的数据导出的行为，也被黑客们特指为成功入侵服务器后，将数据库中用户信息导出的行为。和常规的挂马、钓鱼等安全威胁手段不同，拖库的目标不再是每个用户的个体，而是服务器。一旦服务器被攻破，那么所有的账号和密码就全部被得到了。可见，黑客攻击后进行拖库的危害更甚于其他的方式。

3.2 结合字典的暴力破解

暴力破解即穷举法破解，是一种针对于密码的破译方法，即将密码进行逐个推算直到找出真正的密码为止。暴力破解成功率与构成密码的字符集的范围密切相关。被大量用户喜欢的纯数字密码，由于字符集只有10个数字，所以对暴力破解而言是最快被破解的密码。字符集一般分为数字、小写字母、大写字母、符号等不同的种类，设置密码时，使用的字符类别种类越多、长度越长，密码就越安全，越不容易被暴力破解。哪怕向纯数字密码中加入一个字母，由于字符集变为字母加数字，共36个字符，那么暴力破解的时间将大大增加，被暴力破解的可能性就降低了很多。

为了缩短试误时间，有人将常用的、可能被使用的密码组成一个密码字典，使用字典来缩小密码组合的范围。通过密码事件或者其他途径得到的密码库，完全可能被黑客用于构造密码字典，大量的简单重复密码可以直接被加入字典。同时，对于日期密码也可以根据可能的时间范围和时间格式，构造出一个有限的字典。这样的密码字典，将能够非常有效地提高破解密码的成功率。

3.3 社会工程学攻击

社会工程学(Social Engineering)是一种黑客手段，通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益。社会工程学攻击的最大特点是不以日益完善的信息系统为攻击目标，而以信息系统的使用者——人作为攻击对象。相对于机器或者软件而言，人存在着更多的弱点，因而社会工程学攻击是非常有效的。近年来利用社会工程学手段，突破信息安全防御措施的事件，已经呈现出上升甚至泛滥的趋势。社会工程学攻击者在攻击前会尽量搜集、挖掘被攻击者的全面的个人信息，如生日、电话、住址、爱好、邮箱、QQ号、职业、常去网站、亲属朋友情况等。利用这些信息，按照密码设置的一些习惯进行组合，从而生成字典进行破解。对很多喜欢用一些个人私有信息如生日、电话号码、家人信息等来设置密码的人而言，一旦被社会工程学攻击，个人信息被掌握后，密码也就暴露无遗了。

4 结语

随着电子商务的日益普及，密码的安全性问题越来越成为一个影响到电子商务安全的重要风险。只有提高全民的信息安全意识，加强网站的安全防范水平，才能从根本上解决这一问题。

[1]杨天宇.电子商务概论[M].复旦大学出版社,2006.

[2]Atul Kahate.密码学与网络安全[M].邱仲潘等译.北京:清华大学出版社,2005.