账号被滥用前三种是我们比较头大的，之前通过木马，或者漏洞，大家了解的比较多，我不多介绍了，从数据来看已经排到后面去了，现在木马盗号，网游产业比较常见。

CNNIC调查报告，2011年上半年密码被盗比例，如果一个用户明确知道自己账号被盗，这个意识还不错的，基本上我的账号被盗的时候，我是不知道的，高手是神不知鬼不觉的。这个调查已经说明了，我们有四分之一的用户账号被盗过。

二、账号安全防御1、服务端账号信息防泄漏，我们怎么防信息泄漏？举一个例子，我们家里500万，怎么担心这个钱丢，花两万块钱买一个保险柜，傻子才会这样做，人家直接把保险柜拎走就可以了。我们应该去做投资，做转换。

2、身份认证协议改进。基于简单口令的认证，适合不适合再这么搞下去，哪些认证协议应该全行业大家一起推广，也是大家要思考的。

3、账号权限票据的监控4、垃圾账号注册过滤服务端防泄漏：服务端不存储明文，零知识认证过程。我的身份认证不能真的拿一个确切的身份信息，还是说我认证的过程中，不管是从开始到结束，对方是不知道我的具体信息的。

身份认证协议改进：多因素认证，加入一些其他认证条件，或者说我们身份证的这个升级大概这样：口令认证、多因素认证、多因素双向认证，你要验证我，我也要验证你一次。从安全成本来看，安全指数越高，成本越大。这就是一个企业如果要做这件事情它的难处。

淘宝用户账号安全产品、二次验证产品，淘宝用户安全业务架构，左边罗列的安全风险，右边是针对这些风险给用户提供的一些工具，他可以选择性的使用。中间是淘宝业务，买卖侧重点不同，二次验证。

一次性口令认证OTP，就是图上面显示的，有一个密码，30秒钟，或者一分钟变一次的。

UsrKey，U盾之类的东西，是把密钥放在一个U盾里，这个密钥是不能被倒出的，把随即事件加密，加密完成之后发送给服务器，服务器对应密钥进行解密，如果解密了就OK了，如果解密不了这个密钥就不对，不能进行身份认证。目前成熟的应用：网上银行、支付宝、网游。但是问题也比较多，我们可以想像，一个人他出门的时候兜里面要放五六个U盾。

八卦盾二次验证演示，Login直接吐二维码，Ajax.

三、账号安全未来低成本，高体验，安全指数要求不是特别好，差不多，能够把安全风险罩得住就可以。

账号安全还有未来吗？从账号来看，用户密码来看是没有未来的，互联网过去20年泄漏1亿账号，如果是两亿已经很不错了。如果100之后，我们的安全问题只会越来越严重，我们所有的技术改进，都可以说让用户用起来更舒服，更高效，效果更好了，唯有安全比以前更好了，以前输六位密码就可以了，现在要输十几位的密码，而且一直发邮件让我更改密码。如果行业不努力，没有人比我们努力，如果我们从事安全的，从事IT的人不努力，我们不去埋头干，最后就是所有用户一起承担。

认证手段的增加：指纹：瞳孔、面部、DNA、击键频率(键盘芭蕾)、声音，我觉得比较不错的是击键频率，键盘芭蕾，每个人输的密码节奏不一样，作为一个参考数据去认证，效果应该也不错。还有一些声音方面的，就是的声音输入非常方便，不久之后会有相关的产品出来，或者说这些除了生物技术之外，还有更多的，我希望有更多的厂商看到这个机会，推出更好的产品。

账号安全趋势：1、减少密码使用次数，业务无密码化。让用户忘掉密码，我们的业务也不要再用密码了，我希望在不久的将来可以看到，在注册一个网站的时候，不需要输入密码就可以注册。

2、减少密码因子在认证中的比重。如果密码真的去不掉，在认证因子的比重应该是逐步降低，采取其他更好的手段来进行身份认证。

3、分级认证取代单一认证，我们现在的认证基本上都是单一认证，为了用户体验，为了省事儿，认证一次，后面的权限就全有了。支付密码，是一个动态密码，静态的密码都不是一个心里安慰，真正一个专业黑客，拿着一个500数据可以搞定82%的人均。

今天就讲这么多内容，谢谢大家。张建伟：各位到场来宾大家好，借这个机会祝大家新年快乐。在年前，一般我们搞安全的逢年过节都是要加班的，为什么？因为从历史数据看，一些安全事件统计上看，只要是过节的，有休闲时间的，安全问题就会翻倍，年前也是一个重点防护的时间段，但是不幸的是我们也看到行业安全问题。在这个敏感的时期，讨论这个话题也是非常敏感的，但是我觉得这个问题跟我们想象的不太一样，账号泄漏这个问题不是说一家的问题，说我们自己泄漏了，我们自己遭殃，别人泄漏了我们看他们的热闹，不是的。账号安全应该是大家共同面临的一个问题，也是整个行业将要解决的未来三到五年之内持续不断努力要解决的问题。

接下来我简单介绍一下从我的角度看到的用户安全问题。我先对自己做一个简单介绍，我之前是做Unix系统攻防出身，后来关注Web安全，到现在关注业务安全。从我个人历程上看，我是从一个技术架构开始向业务转型，更加关注业务层面的一些东西，为什么要关注业务层面的东西呢？在我看来技术层面的问题，基本上用技术就可以解决，跟业务打交道的，跟人打交道的时候，情况更加复杂，也是目前在安全领域，在民用安全领域最严重的一个问题。

说到云计算，我个人对云的了解不是特别多，我这边抽象了一个概念，只要是一个黑盒子提供服务，它可扩展，我大概就认为它是一个云。现在我们到处在讲云计算，普通用户也知道这个情况了，但是普通于乎反馈回来的声音是他们不懂什么叫云，我们云计算IDC的用户不是普通用户，而是我们的厂商，但是普通用户看到的云，应该是一个对他服务的可扩展的资源整体。从这个角度看，业务云的安全是这个样子，我本身把一个数据存储到云上，这个数据对于这朵云来说自身要对数据做一些净化，或者用户在使用这些数据的时候，可能有一些干扰，也要做一些数据净化。从投入上看，数据净化是投入最大的一块。

简单讲，如果我们把NS网站，或者电子商务网站，也做一个云服务给客户提供服务，上面的数据净化可以简单看成是垃圾信息过、滤敏感信息过滤这些东西。一个封闭的系统，除了我们自己把难备做好之外，数据要保证完整之外，更多的安全方向来自于和外部有接口的地方，一朵云什么时候和外部有接口？API照用。他要用这个云服务，他怎么用的这个过程本身会出问题，对于一个给普通用户提供服务的系统来说，身份认证这个环节是最薄弱的一个环节，也是安全问题最严峻的一个环节。用户在使用云的时候有一个客户端，这个客户端可能是一台机器，可能也是一个云，也可能是一个浏览器，客户端的安全也会给云安全带来威胁。

还有，我们最近总说黑客技术越来越不如以前了，都开始搞坑蒙拐骗了，大家叫他社会公平学也罢，诈骗也罢，从我们遭遇的安全问题来说，这个上升的非常快。今天我来讲，我不可能把这么多云安全问题全涉及到，我只对身份认证，账号安全这一块做简单介绍。我的演讲内容分三个部分：第一，账号安全概述第二，账号安全防御。防御方面我讲的不是很全面，安全不是一个很单一的技术，是一套的解决方案，可能在每个环节上都要做一些措施，如果从头讲到尾可以讲几天。

第三，账号安全的未来，账号安全还有没有未来。

账号的定义：账号代表用户在服务实体拥有某种资格，我可以登录上做什么，做什么，这个账号如果被盗了，相当于他的资格被盗了。如果看到云计算的后台口令被盗，整个云的安全就无法得到很好的保证。

账号信息：一般包含大家比较了解的用户名和password，实际上一个账号信息，最基础的信息除了这两项之外，还包括手机号码，以及身份认证之后一个tickit，不同的账号有不同的信息，主流的就这些。

用于身份认证的一些账号信息，用户所知道的，他能记得住的，他只要人在哪里这个信息就可以携带到哪里。

还有一些他所拥有的，不一定每个人都记得住自己的身份号码，他要拿一个身份证，拿一个令牌，我们看到很多运维人员都有一个令牌，但是我们很少看到普通用户随身带一个令牌。现在银行安全很多都是基于硬件令牌来做的，我们普通用户很少带，一个是容易丢，另外也不是天天买东西;还有一些认证信息是个人特征，比如说指纹、笔迹，指纹、笔迹传统行业要用到，比如说IDC的机房也用到了指纹认证;还有声音，声音的认证在IT里面用得比较少，但是我们淘宝网正在探索，我们不会声音作为一个认证技术，但是可以作为一个参考。

账号常见安全问题：

1、账号关键信息泄漏或被盗

(责任编辑：)