专业网站建设B/S软件开发专业微信营销专业技术建设团队做客户满意度最高的软件公司
郑州网站建设、郑州网站开发
 

京东商城账户盗刷的对策

作者:新闻资讯出处:学众科技发布时间:2012年02月16日点击数:972

据《北京晨报》报道,近日,不少京东商城的个人账户被盗刷,柳女士反映,她的京东账户被人盗刷,密码被修改。对此现象,京东商城有关人士昨天表示,经过初步调查,账户被盗刷的用户所使用的京东商城账号、密码,大多与该用户在已被泄露信息的其他网站相同,结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

去年年底,CSDN、天涯社区相继发生用户数据泄露事件后,互联网行业人心惶惶。同样,在用户数据最为重要的电商领域,也不断传出存在漏洞,用户信息遭泄露的消息。由于不少用户在多个网站使用同一账号、密码,一旦有一家网站发生信息泄露,该用户在其他网站的账户信息便难以保证安全。因此,京东商城近期的频遭盗刷的原因,恐怕还是去年“泄密门”事件的后遗症。

电商网站负有责任

对于客户个人账户被盗刷,电商网站负有一定责任。去年天涯、CSDN的泄密数据库已经广泛传播的情况下,京东商城应该对此进行预警和处理,通过程序自动扫描并限制同名同密码用户。

扫描用户的方法是,把目前已有的天涯、CSDN泄密库密码,经运算后得出哈希值,和自己数据库里的邮箱和密码进行对比,如果邮箱和密码匹配,就可以判断该用户使用的是相同的密码。

找到这些用户之后,就可以对其采取进一步的措施:

1、给这些用户的电子邮箱或手机发送警告信息,告知其用户名和密码处于危险状态,要求用户登录系统并修改密码。

2、对账户采取保护措施,同一城市的IP登录后,在用户修改密码之前,不能进行任何操作,强制其修改密码;如果出现异地登录情况,则自动锁定账户,同时给用户发送短信或邮件警告登录异常情况。

3、用户修改密码的时候,要求用户不能输入简单密码,必须是八位以上的字母和数字组合。

电商网站的义务

显然,京东商城并没有按照上述的操作保护自己用户的财产安全,这里面的原因有以下几个:

1、企业不重视安全,对网络安全投入不够,网络安全技术人员得不到重视,在企业的地位和收入不高,即使有员工发现了安全问题,也没有时间和精力进行处理。最终造成网络应用漏洞很多,让不法分子有机可趁。

2、国家在网络安全方面的立法相对还较为滞后,对于相关问题缺少法律方面的制裁,对于那些疏于安全保护的商业网站,也没有给予惩罚。如果今后再次发生类似情况,应该通过完善相关法律,追究网站的渎职之责,要求网站对用户进行相应的赔偿。

3、主动服务用户的意识淡漠,没有把用户的利益放在第一位,对用户不负责任。

网民的责任

另一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

如果网民贪图方便,上网只使用一个密码,那么在密码被泄露之后,应该在第一时间去各个网站修改密码,并尽快采取密码分级管理的措施。

技术解决方案

解决这类密码安全问题,一个比较好的技术解决方案,就是使用动态密码或者USB KEY,目前腾讯的手机令牌和Google的两步验证都是基于动态密码技术的,用户在登录的时候,除了要输入原有用户名和密码之外,还要输入自己手机上产生的一个动态密码,这个密码按照时间或使用次数不断动态变化,每个密码只使用一次,从而极大增强了用户密码的安全性。

动态密码技术可以免费安装在用户的智能手机上,因此对于用户来说,几乎没有成本,唯一的问题就是,登录的时候似乎比以前麻烦了一些,有两种方法可以解决,一种是设置某个城市的IP登录不需要动态密码(腾讯的手机令牌就这么做的),另一种是在单台电脑保持三十天再输入一次(Google的做法),这样设置之后,就可以即保证用户登录的安全,又不增加用户的使用难度。

沙澧街