據紅星新聞報道,近日,四川某中學的一名中學生吉某某,因為升學無望,為泄私憤,在家用手機登錄志愿填報系統,篡改了上百名同學的中考志愿一事,得到社會各界的廣泛關注。
西昌警方介紹,今年7月30日,西昌市公安局網絡安全保衛大隊接到報警,西昌市某校學生發現自己的中考志愿被篡改。學校經過初步排查,發現上百名學生志愿被篡改。志愿填報已經停止,該部分學員將無法被錄取升入更高一級學府,這些學生面臨無法上學的嚴重問題。
接到報警后,西昌市公安局網安大隊緊急抽調專人偵辦,迅速查明有人非法破壞計算機信息系統,存在大量考生填報志愿被篡改的情況。該情況社會影響大、危害程度深,按照“凈網”工作要求,網安部門立即進行追查,并對志愿填報系統進行漏洞檢查,發現系統存在驗證機制漏洞等問題。
經過連夜奮戰,快速開展工作,警方鎖定了涉嫌篡改考生志愿的終端,查證發現為該校畢業學生吉某某使用。幸好西昌警方及時介入,并將吉某某抓獲歸案。經查,吉某某升學無望,為泄私憤在家中通過自己手機,復制班主任發在微信群里的2020年度初三畢業生名單,登錄涼山州中考志愿填報系統,嘗試輸入密碼“12345678”,進入他人賬戶篡改志愿。而此系統竟除了密碼之外,沒有其他的驗證方式和門檻,同學們也大多都使用了簡單默認的弱口令密碼。
當地招辦特事特辦,延長考生填報志愿時間,同時針對志愿填報系統無安全保護與驗證機制漏洞等問題進行了通報,并針對系統開展了專項檢查工作。針對志愿填報系統存在的問題,西昌市公安局網安大隊按照《中華人民共和國網絡安全法》,對涉案單位依法開展行政處罰工作。組織學校逐一通知考生本人修改志愿,最終圓了這些學生的升學夢。目前,嫌疑人吉某某已被刑拘。
對于該事件,不探討其他方面,單弱口令危害引發的個人信息保護的網絡安全問題就非常值得我們重視。
弱口令(weak password),通常認為容易被別人(他們有可能對你很了解)猜測到或被破解工具破解的口令均為弱口令。弱口令指的是僅包含簡單數字和字母的口令,例如“123”、“abc”等,因為這樣的口令很容易被別人破解,從而使用戶的計算機面臨風險,因此不推薦用戶使用。
大多數人,因為個人習慣和互聯網上各平臺賬號密碼設置過多,為了避免忘記,通常都會使用同一個且非常容易記住的密碼,或者直接采用系統的默認密碼等。相關的安全意識不足,總認為不會有人會猜到或者利用上自己的這個弱口令的。其實不然,在當今很多地方以用戶名(賬號)和口令作為鑒權的世界,口令的重要性就可想而知了。口令就相當于進入家門的鑰匙,當他人有一把可以進入你家的鑰匙,想想你的安全、你的財物、你的隱私......害怕了吧。因為弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家門鑰匙放在家門口的墊子下面,是非常危險的。
解決弱口令問題相關建議:
1.不使用空口令或系統缺省的口令,因為這些口令眾所周知,為典型的弱口令。
2.口令長度不小于8個字符。
3.口令不應該為連續的某個字符(例如:AAAAAAAA)或重復某些字符的組合(例如:tzf.tzf.)。
4.口令應該為以下四類字符的組合,大寫字母(A-Z)、小寫字母(a-z)、數字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個,那么該字符不應為首字符或尾字符。
5.口令中不應包含本人、父母、子女和配偶的姓名和出生日期、紀念日期、登錄名、E-mail地址等等與本人有關的信息,以及字典中的單詞。
6.口令不應該為用數字或符號代替某些字母的單詞。
7.口令應該易記且可以快速輸入,防止他人從你身后很容易看到你的輸入。
8.至少90天內更換一次口令,防止未被發現的入侵者繼續使用該口令。
針對這些弱口令問題,互聯網企業也可以做一些技術上的限制,防止批量驗證賬號。例如統一登錄接口,頻繁登錄錯誤出發驗證碼等。
及時掌握網絡安全態勢 盡在傻蛋網絡安全監測系統
本文來源:安數網絡
如涉及侵權,請及時與我們聯系,我們會在第一時間刪除或處理侵權內容。
電話:400-869-9193 負責人:張明
工商執照