“安全问题”的安全问题.doc

安全问题”的安全问题 摘 要：文章从网站设计者的角度分析了申请网络账 号时需要设定“安全问题”这一保护措施的初衷，并且深入 研究了“安全问题”涉及到的个人隐私信息。阐述了在互联 网技术高速发展下，网站被动泄密造成个人用户信息安全受 到危害的可能性，进而使用户在金融和身心方面造成二次伤 害的可能性。最后针对这一问题，从用户的角度提出了主动 防御的安全建议，能够减少或避免较大的安全隐患。 关键词：安全问题；信息安全；信息泄漏；安全隐患 引言 在申请 QQ 账号、网易邮箱等网络账号的时候，网站通 常建议用户设置“安全问题” ，以确保忘记密码的情况下可 以通过这些问题来找回自己“信息” 。这些“安全问题”在 很大程度上的确保证了账号丢失后的找回，带来了一定的 “安全”，但同时却也带来了更大的安全隐患。 “安全问题”初衷与问题内容分析 “安全问题”主要是网络社交等账号提供商为确保用户 可以找回可能丢失的账户而设计的一些与用户相关的问题。 在实际应用中， 腾讯、网易等服务提供者， 通过“安全问题” 的保护措施帮助庞大的用户群找回了宝贵的信息资料，在这 方面起到了重要作用 通过统计分析发现，这些“安全问题”包含的内容，往 往涉及到用户的相关隐私信息。这些安全问题的内容包含： 用户父母的姓名、生日，用户的工号、证件号、手机号以及 用户朋友姓名等隐私信息， 在某些情况下有些网站 （如腾讯、 小米等，但并不强制）甚至需要提供用户身份证号等信息。 这样设计的主要原因是这些内容用户熟知且不需要额外记 忆，相对于繁杂的账户密码更难忘记，同时也使得账户更不 容易丢失。 虽然在填写“安全问题”时，并不要求用户填写真实的 信息，但往往填写虚假答案需要更多的额外记忆量。一旦丢 失账号并且忘记所填写的答案，则几乎完全不可能找回账户 信息。因此，更多的人倾向于填写真实有关隐私的答案。 隐患存在的可能性 以前很多人很少思考将隐私信息交给大型网站所带来 的安全隐患，总要一个好的梦想：大型网站的安全性一定很 高，所用的技术也一定很先进；忽略了技术在不断进步，昨 天可能安全的东西，今天就会变得漏洞百出。 首先，时代在进步，互联网技术在发展，没有任何一家 公司必定会一直在技术上遥遥领先。摩托罗拉、诺基亚等公 司在几年前如日中天，现在却已经几乎消失不见，最根本的 原因是在相关技术领域已经不能处于领先水平，其地位被其 他公司代替；而华为、中兴、小米等手机公司却好像突然强 大，也是由于技术的进步。 其次，大型网站已多次发生安全事故，并非大公司就一 定安全。较为著名的信息泄漏事件有：美国 Apple 公司发生 的好莱坞女星私密照片泄漏事件（ 2014 年 9 月，报道广泛， 涉及用户 10 个以下）、中国 12306 网站大量退票事件（ 2014 年 12 月，乌云网发布，涉及用户十几万） 、网易账号大量泄 漏事件（ 2015 年 9 月，乌云网白帽子测试发布，涉及用户约 5 亿）。当然这样的统计数据并非 100%精确，也有可能是通 过其他网站信息来进行推断破解的，但可在一定程度上说明 这些大公司确实存在一些安全漏洞。 最后，大型网站系统安全维护者存在对手“黑客” 。网 络上存在一些喜欢对网络安全进行分析并攻击的人，他们称 为“黑客”，在技术方面并不输给大型网络公司的安全技术 人员。 安全隐患的危害 个人信息的泄漏往往会带来不同程度的危害，小到仅仅 信息泄漏， 达到危及金融账户安全， 甚至危及个人性命安全， 带来的危害从小到大具体描述如下。 仅仅个人信息泄漏 这一类危害性最小，仅仅是泄漏了信息，并没有来主动 破坏用户安全。并没有带来更大的危害，但这一类是其他几 种严重危害的基础，严重的危害用户的信息是通过对大量这 类消息进行数据分析、检索、判断后得到的。 个人信息网络曝光 这类危害主要是对明星、企业以及政府等相关人员危害 较大。如各种“艳照门”类的“门”事件，会对所涉及个人 造成严重的心理或生活的伤害；又如一些上市企业的关键技 术人员的有些不良信息曝光，会影响公司股票投资等等。 银行等金融账户被盗 主要是通过在其他网络上泄漏的账号和密码与金融银 行类网站进行配对和比较，如果金融账户用户名与密码正好 相同，则可以进入金融账户，将其内部资金转账或者消费。 这一类危害最容易引起注意，对普通人们的危害较大，范围 也最广。 个人生命安全受到威胁 主要是通过获取个人信息中的住址、联系方式，然后结 合用户在社区平台（如人人网、 QQ 空间）上的照片，来进 行行为习惯分析，最后达到危害人身安全的目的，这类对个 人的危害性最大。 减少安全隐患的建议 对于由“安全问题”带来的安全隐患，可以通过一些手 段减小隐患，提高自己信息的安全度，具体的方式如下。 设计一套有关自己的安全信息 在这套安全信息里面，使