據(jù)紅星新聞報(bào)道，近日，四川某中學(xué)的一名中學(xué)生吉某某，因?yàn)樯龑W(xué)無望，為泄私憤，在家用手機(jī)登錄志愿填報(bào)系統(tǒng)，篡改了上百名同學(xué)的中考志愿一事，得到社會各界的廣泛關(guān)注。

西昌警方介紹，今年7月30日，西昌市公安局網(wǎng)絡(luò)安全保衛(wèi)大隊(duì)接到報(bào)警，西昌市某校學(xué)生發(fā)現(xiàn)自己的中考志愿被篡改。學(xué)校經(jīng)過初步排查，發(fā)現(xiàn)上百名學(xué)生志愿被篡改。志愿填報(bào)已經(jīng)停止，該部分學(xué)員將無法被錄取升入更高一級學(xué)府，這些學(xué)生面臨無法上學(xué)的嚴(yán)重問題。

接到報(bào)警后，西昌市公安局網(wǎng)安大隊(duì)緊急抽調(diào)專人偵辦，迅速查明有人非法破壞計(jì)算機(jī)信息系統(tǒng)，存在大量考生填報(bào)志愿被篡改的情況。該情況社會影響大、危害程度深，按照“凈網(wǎng)”工作要求，網(wǎng)安部門立即進(jìn)行追查，并對志愿填報(bào)系統(tǒng)進(jìn)行漏洞檢查，發(fā)現(xiàn)系統(tǒng)存在驗(yàn)證機(jī)制漏洞等問題。

經(jīng)過連夜奮戰(zhàn)，快速開展工作，警方鎖定了涉嫌篡改考生志愿的終端，查證發(fā)現(xiàn)為該校畢業(yè)學(xué)生吉某某使用。幸好西昌警方及時(shí)介入，并將吉某某抓獲歸案。經(jīng)查，吉某某升學(xué)無望，為泄私憤在家中通過自己手機(jī)，復(fù)制班主任發(fā)在微信群里的2020年度初三畢業(yè)生名單，登錄涼山州中考志愿填報(bào)系統(tǒng)，嘗試輸入密碼“12345678”，進(jìn)入他人賬戶篡改志愿。而此系統(tǒng)竟除了密碼之外，沒有其他的驗(yàn)證方式和門檻，同學(xué)們也大多都使用了簡單默認(rèn)的弱口令密碼。

當(dāng)?shù)卣修k特事特辦，延長考生填報(bào)志愿時(shí)間，同時(shí)針對志愿填報(bào)系統(tǒng)無安全保護(hù)與驗(yàn)證機(jī)制漏洞等問題進(jìn)行了通報(bào)，并針對系統(tǒng)開展了專項(xiàng)檢查工作。針對志愿填報(bào)系統(tǒng)存在的問題，西昌市公安局網(wǎng)安大隊(duì)按照《中華人民共和國網(wǎng)絡(luò)安全法》，對涉案單位依法開展行政處罰工作。組織學(xué)校逐一通知考生本人修改志愿，最終圓了這些學(xué)生的升學(xué)夢。目前，嫌疑人吉某某已被刑拘。

對于該事件，不探討其他方面，單弱口令危害引發(fā)的個人信息保護(hù)的網(wǎng)絡(luò)安全問題就非常值得我們重視。

弱口令(weak password)，通常認(rèn)為容易被別人（他們有可能對你很了解）猜測到或被破解工具破解的口令均為弱口令。弱口令指的是僅包含簡單數(shù)字和字母的口令，例如“123”、“abc”等，因?yàn)檫@樣的口令很容易被別人破解，從而使用戶的計(jì)算機(jī)面臨風(fēng)險(xiǎn)，因此不推薦用戶使用。

大多數(shù)人，因?yàn)閭€人習(xí)慣和互聯(lián)網(wǎng)上各平臺賬號密碼設(shè)置過多，為了避免忘記，通常都會使用同一個且非常容易記住的密碼，或者直接采用系統(tǒng)的默認(rèn)密碼等。相關(guān)的安全意識不足，總認(rèn)為不會有人會猜到或者利用上自己的這個弱口令的。其實(shí)不然，在當(dāng)今很多地方以用戶名(賬號)和口令作為鑒權(quán)的世界，口令的重要性就可想而知了。口令就相當(dāng)于進(jìn)入家門的鑰匙，當(dāng)他人有一把可以進(jìn)入你家的鑰匙，想想你的安全、你的財(cái)物、你的隱私......害怕了吧。因?yàn)槿蹩诹詈苋菀妆凰瞬碌交蚱平猓匀绻闶褂萌蹩诹睿拖癜鸭议T鑰匙放在家門口的墊子下面，是非常危險(xiǎn)的。

解決弱口令問題相關(guān)建議：

1.不使用空口令或系統(tǒng)缺省的口令，因?yàn)檫@些口令眾所周知，為典型的弱口令。

2.口令長度不小于8個字符。

3.口令不應(yīng)該為連續(xù)的某個字符（例如：AAAAAAAA）或重復(fù)某些字符的組合（例如：tzf.tzf.）。

4.口令應(yīng)該為以下四類字符的組合，大寫字母(A-Z)、小寫字母(a-z)、數(shù)字(0-9)和特殊字符。每類字符至少包含一個。如果某類字符只包含一個，那么該字符不應(yīng)為首字符或尾字符。

5.口令中不應(yīng)包含本人、父母、子女和配偶的姓名和出生日期、紀(jì)念日期、登錄名、E-mail地址等等與本人有關(guān)的信息，以及字典中的單詞。

6.口令不應(yīng)該為用數(shù)字或符號代替某些字母的單詞。

7.口令應(yīng)該易記且可以快速輸入，防止他人從你身后很容易看到你的輸入。

8.至少90天內(nèi)更換一次口令，防止未被發(fā)現(xiàn)的入侵者繼續(xù)使用該口令。

針對這些弱口令問題，互聯(lián)網(wǎng)企業(yè)也可以做一些技術(shù)上的限制，防止批量驗(yàn)證賬號。例如統(tǒng)一登錄接口，頻繁登錄錯誤出發(fā)驗(yàn)證碼等。

及時(shí)掌握網(wǎng)絡(luò)安全態(tài)勢 盡在傻蛋網(wǎng)絡(luò)安全監(jiān)測系統(tǒng)

【網(wǎng)絡(luò)安全監(jiān)管部門】免費(fèi)試用

本文來源:安數(shù)網(wǎng)絡(luò)

如涉及侵權(quán)，請及時(shí)與我們聯(lián)系，我們會在第一時(shí)間刪除或處理侵權(quán)內(nèi)容。
電話：400-869-9193 負(fù)責(zé)人：張明