香港高速VIP云机房火爆上线啦!无需备案,开通即用!配套《巅云自助建站系统3.0》将带给您飞一般的可视化拖拽建站体验,欢迎免费体验。

建站新闻

123456就可登录教育部 1.9亿学生信息如何安全?
一佰互联网站建设(www.yinxi.net) 发布时间:2019-04-15 02:01:13 浏览数: 43
0

 

10月12日报道:9月29日,教育部官网通过媒体再次向公众保证了IME没有任何信息泄漏。这是继5月30日在教育部官网专门就“教育技术服务平台”APP公开发布关于“全国教育技术服务平台”有关问题答复后,又一次强调了学生信息的安全性。

据教育部在9月29日向媒体披露的数字,全国中小学生学籍信息管理系统目前已完成1.9亿学生信息入库,并且该数字会一直增加,最终覆盖全国28万多所学校,所有的信息都要通过“教育技术服务平台”(简称“IME")的应用进行上传。

“不经意”的尝试,小白如何获取"IME"的管理员账号?

我本想亲身体验一下这款超级应用,却发现需要使用学生的注册码才能注册使用。

由于无法登录进行体验,于是我希望通过搜索引擎寻找其他详细信息,却无意中在某处发现一份介绍“IME”使用方法的文档中有一张这样的图片(注:原图不带马赛克)

图片中暴露了使用者的帐号和密码位数为六位数,于是我猜测这个密码可能是很常见的弱密码123456,结果在尝试之后居然成功登录:

并且我发现这款软件并没有设置验证码和任何限制重复登录的措施,于是使用123456作为密码尝试其他相近的帐号,看看有没有更多的人使用123456作为密码。结果在尝试短短几分钟的手动输入后,居然成功登录了3个帐号,均为管理员。

随后,我已向相关部门反馈了弱口令问题的情况,但同时也引发了相关的思考:

一方面,IME的用户自身安全意识不强,使用简单密码导致帐号可能被盗;

另一方面也暴露了该应用在信息安全方面的不完善。

按照上面的操作,即使是一个不懂任何黑客技术的小白,也可能可以通过单纯尝试就成功登录管理人员的帐号。如果是黑客通过撞库、社工或是暴力破解等手段进行大规模尝试,后果可想而知,一旦引发大规模的信息泄漏事件,责任由谁来担?

用户因弱口令问题泄漏信息,谁负责?

弱口令,也就是简单密码,如今已经成为了网络安全问题中最常见、危害最大、也是最容易被黑客利用的问题。在网络安全防范意识普遍较弱的今天,为图方便而使用简单密码的做法很常见。

2011年发生的CSDN密码明文泄漏事件中的统计数据显示,纯数字密码超过2890000个,纯小写字母密码超过740000个,123456789做密码的超过230000。若不是亲身试验用123456登录成功,原本我也并不太相信这些数据的真实性。

关于弱口令知识,可参考此前雷锋网的科普文:密码123456,意味着什么?

IME平台账号分为超级管理员、学籍系统管理员、学籍系统普通用户三种类型。如果是因为管理员使用弱口令(前文中的几个账号均系管理员)而导致对应的学生及家长信息泄漏,该由谁来负责呢?而一旦出现稍具规模的学生信息因泄漏而开始在网络黑市流通,谁又能区分究竟是“IME"的运营公司“天天艾米”将学生信息用于商业用途,还是因为管理员的个人原因或黑客攻击而导致的泄漏呢?恐怕到时候舆论又将“IME”的管理者推向风口浪尖。

如何保护密码安全?

关于类似该平台出现的问题,此前我和前DNSPod创始人、网络安全专家吴洪声私底下聊过。他也提出了几点看法:

”首先,如果不对登录次数进行限制,就存在暴力破解的可能性(尽管“IME”要求在登陆十多次之后会要求输入验证码,然而......你懂的);

其次,在申请账号时应当限制用户密码长度和复杂性,因为现在网民的安全意识普遍不高,所以如果应用不主动限制的话,很多用户图方便好记就使用简单密码,留下隐患;

另外,你可以使用自己的设备登录他人账号,也说明该应用没有异地登陆保护、设备保护等风控措施。"

关于解决方案,其实,对密码复杂度进行限制、登陆入口设置验证码、设置异地登陆、设备保护等方式都可以提高账号的安全性。生物识别技术近年来发展迅速,尝试使用人脸、声音、指纹识别来代替密码登录,也可以很好的解决该问题,用生物特征替代密码是今后的趋势。而吴洪声本人现在自己创业,推出用生物特征识别替代密码的身份验证产品——"洋葱令牌“,也是基于这方面的考虑。

随着生物识别技术的普及,越来越多的身份验证场景开始使用生物识别,比如微信、手机百度中都已加入“声音锁”功能。作为一个拥有海量用户和学生、家长隐秘信息的超级应用IME,在账号安全性方面还有待提高。

另一方面,用户密码使用习惯也直接决定了安全性,提高用户防范意识方面,可以在推广“IME”的同时加强对老师、家长及学生关于网络安全知识的普及,起码在要求用户安装使用"IME"时,提醒其注意相关网络安全。

2014年,英国政府就曾发起Year of Code活动,鼓励区域内每一所学校至少教小学生们1小时基础编程知识的活动。美国总统奥巴马在今年年初也曾呼吁“每个美国人都应学习编程”。

置疑之后,更应理性对待

不知为何,但凡政府部门出的应用,质疑声从来都少不了,铁道部的12306如此,教育部的IME也是如此,我想即使“IME”真的集成“洋葱令牌”这类用人脸、声音、指纹等生物信息替代密码以解决弱口令问题的产品功能,恐怕又会有人质疑其“企图收集用户生物信息用于商业用途”。质疑总会有,但不应该阻止创新和进步。

无论存在多少舆论和质疑,IME的出现不是偶然,而是我国互联网和教育信息化发展到一定阶段的结果。因为无论公众存在多少质疑,这样一个平台和应用的出现确实能为教育从业者、家长和学生提供更好的服务,也确实对我国教育信息化的进程起到很大的推进作用。

====================================================================

高端网站建设11年专业服务商  http://www.yinxi.net 

11年企业网站建设(手机网站/微官网开发)|软件开发|百度优化

服务热线:023-6160 0111 18581389571 联系人:蒋先生====================================================================

 

  文章由重庆一佰互联高端网站建设http://www.yinxi.net编辑整理,转载请注明出处

一佰互联是全国知名建站品牌服务商,我们有九年网站建设、网站制作、网页设计、php开发和域名注册及虚拟主机服务经验,提供的自助建站服务更是全国有名。近年来还整合团队优势自主开发了可视化多用户”巅云建站系统“3.0平台版,拖拽排版网站制作设计,轻松实现pc站、手机微网站、小程序、APP一体化全网营销网站建设 ,已成功的为全国上百家网络公司提供自助建站平台搭建服务。

上一篇:北京公厕将覆盖WiFi成“第五空间”还设有ATM机
下一篇: 研究发现:长期依赖搜索引擎会导致大脑迟钝
[返回新闻列表]

相关新闻more

11
05月
网页设计建站窍门

专业网页设计建网站窍门,拥有自己的官方网站是如今非常多企业中必要的一个环节,实现网站可以满意的创建自己的营销网络,有助于提高官网产品号召... >>详情

29
04月
codeigniter自带数据库类使用方法说

初始化数据库类依据你的数据库配置载入并初始化数据库类:复制代码 代码如下:this->load->database();被载入之... >>详情

03
05月
如何快速提升百度关键词排名

一直有人问我,我的关键词排名是怎么来的,我的博客如何在短短的一年不到的时间做到的,我在QQ群里不知道如何回答,因为这不是一两句能够说清楚的,... >>详情

30
03月
百度智能小程序怎么开发?企业如何抓住机遇?

简介:在7月的百度AI开发者大会上,百度副总裁沈抖曾提出,中国的互联网正在从开放走向封闭,巨头们都在搭建自己的“围墙花园”,百度小程序的核心... >>详情

营业执照. cdn加速服务 备案系统认证 网络安全协会 我们的支付方式AAA认证
上海 北京 深圳 广州 天津 杭州 南京 武汉 成都 沈阳 大连 长沙 济南 青岛 苏州 福州 无锡 哈尔滨 宁波 重庆 大庆 厦门 西安 长春 珠海 郑州 海口 昆明 太原 石家庄 温州 合肥 乌鲁木齐 南宁 南通 合肥 兰州 呼和浩特 贵阳 烟台 秦皇岛 包头 唐山 银川 汕头 连云港 威海 西宁 湛江 北海 万州 涪陵 长寿 黔江 永川 丰都 忠县 江津 南川 开县 云阳 万盛 梁平 垫江 巫山 城口 建站宝盒 免费建站 门户网站建设 微信网站 手机网站 门户网站制作

7x24小时服务电话:18581389571 传真:023-85725751 免费建站交流群:236412099 139947842(自助建站交流) E-Mail:post@yinxi.net 网站投诉:
重庆楚捷科技有限公司 一佰互联©版权所有 自助建站(www.yinxi.net,Inc.) 2001-2020 All Rights Reserved 本站程序受法律保护,网站法律顾问:ITLAW-庄毅雄律师
中华人民共和国信息产业部网站备案号:渝ICP备12000592号