专家指出互联网企业应担起保护隐私的责任而不是苛求上网者 用户提供资料越多泄密越严重。
　　信息时代，互联网用户为了网站所宣称的安全，不得不提交更多的个人信息，并且由此面临越来越高的个人信息泄露风险去年12月发生的网站用户资料泄密事件，让人们意识到，他们所信赖的网站其实一直在“裸奔”，信息安全实在不靠谱。
　　在复旦大学日前举办的“中国计算机学会青年计算机科技论坛上海特别论坛”上，来自密码学、系统安全、网站运营的专家们共同探讨如何保护用户的隐私信息。学者们提出，保护用户隐私责任在互联网企业，关键是如何提高为用户保密的能力，也因为网络没有绝对的安全，要用户提供更多的个人资料，只会造成更大的泄密。
　　破解5位数口令只需几秒钟
　　“网络世界并没有绝对的安全。”复旦大学计算机科学与技术学院院长王晓阳教授称，在5、6年前，要攻破一个网站只需要10分钟。而今天，要破解9个字的最复杂的口令，只需要几天。破解常见的随机5位数口令，则只需要几秒钟。即使是采用目前最安全最高级的加密口令，黑客们也只需要两三个星期就能破解。
　　“只要你联上网络，你的隐私就面临着泄露的风险。”复旦大学长期从事信息安全研究的韩伟力副教授这样告诉记者，“你在电脑前手指的每一个动作，都可以拼凑出你的"个人信息"。”
　　当你上网时，你会“顺便”搜一搜自己的名字，当然也会搜一搜自己所关心的人在网上留下了哪些脚印。那么通过来自同一个IP地址的这些搜索请求，你的个人信息已经可以被识别。
　　在网络如此发达的今天，很多人身体不舒服，会上网搜索自己的症状，那么你的身体状况显然也不再是隐私。现在谷歌公司已经成立了专门的项目小组，分析各个地区的疾病发生情况，数据来源就是用户在搜索引擎中输入的搜索词。
　　而如果你遇到结婚登记、约会等人生大事也爱上网，那么你的人生基本也被定位了。
　　互联网用户在享受“免费”内容和服务的同时，都会付出代价自己的私人信息。因为很多网络公司“暗地”跟踪人们的上网活动，寻找消费行为和地理位置信息，并对数百万消费者的此类海量数据进行分析，从而构建数据档案。在有些情况下，它们甚至知道互联网用户的姓名、性别、年龄、医疗记录，以及喜欢在网上关注哪些问题。
　　90%的互联网公司不知被入侵
　　“问题不在于个人信息是否被网站所获取，而在于这些信息被网站获取后是否得到妥善保存。”UCloud信息技术有限公司CEO季昕华说，“目前互联网公司其实就分三类，第一类是被入侵了，但不自知，这种最常见，几乎占互联网公司的90%以上；第二类是被攻击了，事后才发现；第三才是防卫措施比较好，没有被攻击的，但数量很少。”
　　但在互联网沦陷的消息被公诸于众之前，所有网站从未让用户知晓这一切。相反，几乎所有网站在用户注册时，都会对用户提出各种保护自己隐私的要求。冗长的用户协议中，无一例外地写着“请注意定期更换口令”、“请不要把个人信息在网上透露给任何人”。实际上，这些网络公司对用户看似诚恳的忠告毫无意义。因为大多数企业都把用户的账号和口令明文保存在服务器上，几乎处于“坐等”黑客上门状态。一旦突破服务器防火墙，这些隐私信息便一览无遗。
　　至于很多网站在用户登录时都要求用户填写附加码，王晓阳教授说：“有些附加码往往增加了用户登录时的麻烦，还有黑客的时间成本，却并不能增加用户信息的安全性。”SONY在2011年被黑客盗取的口令，登录时也要填附加码，但是这些以图片形式存在的附加码被破解后，仍然是明文文本形式放置在网页中。最终索尼公司泄露了1亿多个客户账户的详细资料和1200万个没有加密的信用卡号码。索尼至今已因此花掉了近2亿美元用于泄密事件之后的客户挽救、法律成本和技术改进。
　　加密保存并非万无一失
　　即便是服务器的防火墙没被突破，服务器上保存的用户账号和口令都加密保存，安全性依然存疑。因为现在除了木马，还有通过扫号，暴力破解用户个人信息，或者用相同的口令来破解账号，比如用“9”来破解不同的账号，总有账号和这个口令匹配。
　　季昕华展示了一份某公司服务器的记录，在一分钟之内，以“tiny”作为前缀的各种账号被尝试登录近百次，有“tiny2008”、“tiny_bear”、“tinycandy”等等，有很多被服务器证明账号不存在或者密码错误，但确实有账号通过了认证。
　　“在一些大型网络社区，每天尝试登录的账号中有一半属于扫号，因为大多数用户喜欢用同样的账号在不同网站注册。因此，黑客拿到某个用户的账号和口令后，除了登录他所攻击的社区，还会尝试其他的网站，获取邮箱内容，登录QQ、MSN或者微博，甚至获取工作信息、家人、朋友、同事的信息。”
　　隐私保护不光是技术问题
　　为了保护用户的隐私，密码学和系统安全专家提供了越来越高级的技术方案，但在王晓阳看来，信息安全研究越多，信息系统就越不安全。因为网络隐私保护的漏洞不可避免。他认为，增加网络信息的安全性，除了密码学和系统安全专家，还需要心理学、经济学、法学等领域的专家共同努力。
　　比如关于电子财产，至今没有相关的法律规定。一旦网站泄密是否需要通报，通报到什么程度，这也没有规定。攻击者是否会付出代价，付出多少代价也没有相关的法律规定。王晓阳认为，既然漏洞不可避免，那么就应该有相关的法律规定，或者是通过经济杠杆来进行评估，甚至把电子财产货币化，通过经济杠杆来促使企业加强对网络信息安全的重视。
　　此外，信息安全的研究人员还需要了解人类行为学、心理学等方面的知识。比如，用户的口令怎么设？王晓阳说，按照心理学研究，人们第一次设的口令通常是印象最深刻的，此后更改的很难记住。大部分人为了方便记忆，在定期更换口令时会遵循一些规律，比如有一半以上的人把口令中的某个数字每次加1。还有些人会把口令的数字和字母组合不断进行前后更换。“但这样的变化都是有规律可循的，完全失去了增加安全性的意义。”
　　在专家看来，网站运营方必须提高对安全运营的投入，同时政府和监管部门也应该从技术研究、标准和规范制定、运营监管等方面，加强对用户隐私的保护。

(责任编辑：)