京東商城賬戶盜刷的對策

據(jù)《北京晨報》報道，近日，不少京東商城的個人賬戶被盜刷，柳女士反映，她的京東賬戶被人盜刷，密碼被修改。對此現(xiàn)象，京東商城有關(guān)人士昨天表示，經(jīng)過初步調(diào)查，賬戶被盜刷的用戶所使用的京東商城賬號、密碼，大多與該用戶在已被泄露信息的其他網(wǎng)站相同，結(jié)果給了不法分子套用這些賬號、密碼盜刷京東賬戶的機(jī)會。

去年年底，CSDN、天涯社區(qū)相繼發(fā)生用戶數(shù)據(jù)泄露事件后，互聯(lián)網(wǎng)行業(yè)人心惶惶。同樣，在用戶數(shù)據(jù)最為重要的電商領(lǐng)域，也不斷傳出存在漏洞，用戶信息遭泄露的消息。由于不少用戶在多個網(wǎng)站使用同一賬號、密碼，一旦有一家網(wǎng)站發(fā)生信息泄露，該用戶在其他網(wǎng)站的賬戶信息便難以保證安全。因此，京東商城近期的頻遭盜刷的原因，恐怕還是去年“泄密門”事件的后遺癥。

電商網(wǎng)站負(fù)有責(zé)任

對于客戶個人賬戶被盜刷，電商網(wǎng)站負(fù)有一定責(zé)任。去年天涯、CSDN的泄密數(shù)據(jù)庫已經(jīng)廣泛傳播的情況下，京東商城應(yīng)該對此進(jìn)行預(yù)警和處理，通過程序自動掃描并限制同名同密碼用戶。

掃描用戶的方法是，把目前已有的天涯、CSDN泄密庫密碼，經(jīng)運(yùn)算后得出哈希值，和自己數(shù)據(jù)庫里的郵箱和密碼進(jìn)行對比，如果郵箱和密碼匹配，就可以判斷該用戶使用的是相同的密碼。

找到這些用戶之后，就可以對其采取進(jìn)一步的措施：

1、給這些用戶的電子郵箱或手機(jī)發(fā)送警告信息，告知其用戶名和密碼處于危險狀態(tài)，要求用戶登錄系統(tǒng)并修改密碼。

2、對賬戶采取保護(hù)措施，同一城市的IP登錄后，在用戶修改密碼之前，不能進(jìn)行任何操作，強(qiáng)制其修改密碼；如果出現(xiàn)異地登錄情況，則自動鎖定賬戶，同時給用戶發(fā)送短信或郵件警告登錄異常情況。

3、用戶修改密碼的時候，要求用戶不能輸入簡單密碼，必須是八位以上的字母和數(shù)字組合。

電商網(wǎng)站的義務(wù)

顯然，京東商城并沒有按照上述的操作保護(hù)自己用戶的財產(chǎn)安全，這里面的原因有以下幾個：

1、企業(yè)不重視安全，對網(wǎng)絡(luò)安全投入不夠，網(wǎng)絡(luò)安全技術(shù)人員得不到重視，在企業(yè)的地位和收入不高，即使有員工發(fā)現(xiàn)了安全問題，也沒有時間和精力進(jìn)行處理。最終造成網(wǎng)絡(luò)應(yīng)用漏洞很多，讓不法分子有機(jī)可趁。

2、國家在網(wǎng)絡(luò)安全方面的立法相對還較為滯后，對于相關(guān)問題缺少法律方面的制裁，對于那些疏于安全保護(hù)的商業(yè)網(wǎng)站，也沒有給予懲罰。如果今后再次發(fā)生類似情況，應(yīng)該通過完善相關(guān)法律，追究網(wǎng)站的瀆職之責(zé)，要求網(wǎng)站對用戶進(jìn)行相應(yīng)的賠償。

3、主動服務(wù)用戶的意識淡漠，沒有把用戶的利益放在第一位，對用戶不負(fù)責(zé)任。

網(wǎng)民的責(zé)任

另一方面，網(wǎng)友對于注冊網(wǎng)絡(luò)服務(wù)，應(yīng)該采取密碼分級管理，郵箱、網(wǎng)上支付、聊天賬號等重要賬號要單獨(dú)設(shè)置密碼；論壇等普通網(wǎng)站使用其他的密碼；網(wǎng)上銀行密碼不要和取款密碼相同，也不和其他網(wǎng)站密碼相同。支付寶要安裝數(shù)字證書，網(wǎng)銀則要申請USB KEY。

如果網(wǎng)民貪圖方便，上網(wǎng)只使用一個密碼，那么在密碼被泄露之后，應(yīng)該在第一時間去各個網(wǎng)站修改密碼，并盡快采取密碼分級管理的措施。

技術(shù)解決方案

解決這類密碼安全問題，一個比較好的技術(shù)解決方案，就是使用動態(tài)密碼或者USB KEY，目前騰訊的手機(jī)令牌和Google的兩步驗證都是基于動態(tài)密碼技術(shù)的，用戶在登錄的時候，除了要輸入原有用戶名和密碼之外，還要輸入自己手機(jī)上產(chǎn)生的一個動態(tài)密碼，這個密碼按照時間或使用次數(shù)不斷動態(tài)變化，每個密碼只使用一次，從而極大增強(qiáng)了用戶密碼的安全性。

動態(tài)密碼技術(shù)可以免費(fèi)安裝在用戶的智能手機(jī)上，因此對于用戶來說，幾乎沒有成本，唯一的問題就是，登錄的時候似乎比以前麻煩了一些，有兩種方法可以解決，一種是設(shè)置某個城市的IP登錄不需要動態(tài)密碼（騰訊的手機(jī)令牌就這么做的），另一種是在單臺電腦保持三十天再輸入一次（Google的做法），這樣設(shè)置之后，就可以即保證用戶登錄的安全，又不增加用戶的使用難度。