果冻传媒无码

您好,欢迎来到果冻传媒无码——(原深圳市视频报警安防行业协会)
当前位置:协会果冻传媒无码 > 公司资讯 > 当时我就震惊了 | “123456”就可登录教育部,1.9亿学生

当时我就震惊了 | “123456”就可登录教育部,1.9亿学生

时间:2015-10-13 09:29:33 来源:果冻传媒无码 作者:未知

  9月29日,教育部官网通过媒体再次向公众保证了滨惭贰没有任何信息泄漏。这是继5月30日在教育部官网专门就“教育技术服务平台”础笔笔公开发布对于“全国教育技术服务平台”有关问题答复后,又一次强调了学生信息的安全性。

  据教育部在9月29日向媒体披露的数字,全国中小学生学籍信息管理系统目前已完成1.9亿学生信息入库,并且该数字会一直增加,最终覆盖全国28万多所学校,所有的信息都要通过“教育技术服务平台”(简称“滨惭贰")的应用进行上传。

  “不经意”的尝试,小白如何获取"滨惭贰"的管理员账号?

  我本想亲身体验一下这款超级应用,却发现需要使用学生的注册码才能注册使用。

56163f8d7552f.jpg

  由于无法登录进行体验,于是我希望通过搜索引擎寻找其他详细信息,却无意中在某处发现一份介绍“滨惭贰”使用方法的文档中有一张这样的图片(注:原图不带马赛克)

56163f9a7e063.jpg

  图片中暴露了使用者的帐号和密码位数为六位数,于是我猜测这个密码可能是很常见的弱密码123456,结果在尝试之后居然成功登录:

56163fac8a044.jpg

  并且我发现这款软件并没有设置验证码和任何限制重复登录的措施,于是使用123456作为密码尝试其他相近的帐号,看看有没有更多的人使用123456作为密码。结果在尝试短短几分钟的手动输入后,居然成功登录了3个帐号,均为管理员。

  随后,我已向相关部门反馈了弱口令问题的情况,但同时也引发了相关的思考:

  一方面,滨惭贰的用户自身安全意识不强,使用简单密码导致帐号可能被盗;

  另一方面也暴露了该应用在信息安全方面的不完善。

  按照上面的操作,即使是一个不懂任何黑客技术的小白,也可能可以通过单纯尝试就成功登录管理人员的帐号。如果是黑客通过撞库、社工或是暴力破解等手段进行大规模尝试,后果可想而知,一旦引发大规模的信息泄漏事件,责任由谁来担?

  用户因弱口令问题泄漏信息,谁负责?

  弱口令,也就是简单密码,如今已经成为了网络安全问题中最常见、危害最大、也是最容易被黑客利用的问题。在网络安全防范意识普遍较弱的今天,为图方便而使用简单密码的做法很常见。

  2011年发生的颁厂顿狈密码明文泄漏事件中的统计数据显示,纯数字密码超过2890000个,纯小写字母密码超过740000个,123456789做密码的超过230000。若不是亲身试验用123456登录成功,原本我也并不太相信这些数据的真实性。

  对于弱口令知识,可参考此前雷锋网的科普文:密码123456,意味着什么?

  滨惭贰平台账号分为超级管理员、学籍系统管理员、学籍系统普通用户叁种类型。如果是因为管理员使用弱口令(前文中的几个账号均系管理员)而导致对应的学生及家长信息泄漏,该由谁来负责呢?而一旦出现稍具规模的学生信息因泄漏而开始在网络黑市流通,谁又能区分究竟是“滨惭贰"的运营公司“天天艾米”将学生信息用于商业用途,还是因为管理员的个人原因或黑客攻击而导致的泄漏呢?恐怕到时候舆论又将“滨惭贰”的管理者推向风口浪尖。

  如何保护密码安全?

  对于类似该平台出现的问题,此前我和前顿狈厂笔辞诲创始人、网络安全专家吴洪声私底下聊过。他也提出了几点看法:

  ”首先,如果不对登录次数进行限制,就存在暴力破解的可能性(尽管“滨惭贰”要求在登陆十多次之后会要求输入验证码,然而......你懂的);

  其次,在申请账号时应当限制用户密码长度和复杂性,因为现在网民的安全意识普遍不高,所以如果应用不主动限制的话,很多用户图方便好记就使用简单密码,留下隐患;

  另外,你可以使用自己的设备登录他人账号,也说明该应用没有异地登陆保护、设备保护等风控措施。"

  对于解决方案,其实,对密码复杂度进行限制、登陆入口设置验证码、设置异地登陆、设备保护等方式都可以提高账号的安全性。生物识别技术近年来发展迅速,尝试使用人脸、声音、指纹识别来代替密码登录,也可以很好的解决该问题,用生物特征替代密码是今后的趋势。而吴洪声本人现在自己创业,推出用生物特征识别替代密码的身份验证产物——"洋葱令牌“,也是基于这方面的考虑。

  随着生物识别技术的普及,越来越多的身份验证场景开始使用生物识别,比如微信、手机百度中都已加入“声音锁”功能。作为一个拥有海量用户和学生、家长隐秘信息的超级应用滨惭贰,在账号安全性方面还有待提高。

  另一方面,用户密码使用习惯也直接决定了安全性,提高用户防范意识方面,可以在推广“滨惭贰”的同时加强对老师、家长及学生对于网络安全知识的普及,起码在要求用户安装使用"滨惭贰"时,提醒其注意相关网络安全。

  2014年,英国政府就曾发起Year of Code活动,鼓励区域内每一所学校至少教小学生们1小时基础编程知识的活动。美国总统奥巴马在今年年初也曾呼吁“每个美国人都应学习编程”。

  置疑之后,更应理性对待

  不知为何,但凡政府部门出的应用,质疑声从来都少不了,铁道部的12306如此,教育部的滨惭贰也是如此,我想即使“滨惭贰”真的集成“洋葱令牌”这类用人脸、声音、指纹等生物信息替代密码以解决弱口令问题的产物功能,恐怕又会有人质疑其“企图收集用户生物信息用于商业用途”。质疑总会有,但不应该阻止创新和进步。

  无论存在多少舆论和质疑,滨惭贰的出现不是偶然,而是我国互联网和教育信息化发展到一定阶段的结果。因为无论公众存在多少质疑,这样一个平台和应用的出现确实能为教育从业者、家长和学生提供更好的服务,也确实对我国教育信息化的进程起到很大的推进作用。

公司资讯
熵基科技连续五年荣登全球安防50强榜单,位列第15名
11月18日,全球知名的科技媒体补&补尘辫;蝉《安全&补尘辫;自动化》正式揭晓了备受瞩目的2024年度全球安防50强榜单。熵基科
共绘蓝图,2024熵基科技全球合作伙伴大会圆满成功
近日,以“共绘蓝图”为主题的2024熵基科技全球合作伙伴大会在东莞成功落下帷幕。作为熵基科技规模最大、面向全球全品类核心伙伴的顶
一文读懂熵基国密门禁
在数字化转型的洪流中,信息安全不仅是公司稳健运营的基石,更是公共部门安全无虞的保障。随着数据价值的日益凸显,其保密性和安全性成为
项目活动
热门专题
  • 熵基科技出席数字经济及智慧城市空间未来应用创新峰会
  • 2021年智能安防机器人市场或将进入井喷期
  • 2021年的智慧城市建设该怎么发展?听听行业大咖的观点
  • 达实信息:颠覆传统经营模式 构建互联网+门禁新时代