當(dāng)時(shí)我就震驚了 | “123456”就可登錄教育部，1.9億學(xué)生

　　9月29日，教育部官網(wǎng)通過(guò)媒體再次向公眾保證了IME沒(méi)有任何信息泄漏。這是繼5月30日在教育部官網(wǎng)專門就“教育技術(shù)服務(wù)平臺(tái)”APP公開(kāi)發(fā)布關(guān)于“全國(guó)教育技術(shù)服務(wù)平臺(tái)”有關(guān)問(wèn)題答復(fù)后，又一次強(qiáng)調(diào)了學(xué)生信息的安全性。

　　據(jù)教育部在9月29日向媒體披露的數(shù)字，全國(guó)中小學(xué)生學(xué)籍信息管理系統(tǒng)目前已完成1.9億學(xué)生信息入庫(kù)，并且該數(shù)字會(huì)一直增加，最終覆蓋全國(guó)28萬(wàn)多所學(xué)校，所有的信息都要通過(guò)“教育技術(shù)服務(wù)平臺(tái)”(簡(jiǎn)稱“IME")的應(yīng)用進(jìn)行上傳。

　　“不經(jīng)意”的嘗試，小白如何獲取"IME"的管理員賬號(hào)?

　　我本想親身體驗(yàn)一下這款超級(jí)應(yīng)用，卻發(fā)現(xiàn)需要使用學(xué)生的注冊(cè)碼才能注冊(cè)使用。

　　由于無(wú)法登錄進(jìn)行體驗(yàn)，于是我希望通過(guò)搜索引擎尋找其他詳細(xì)信息，卻無(wú)意中在某處發(fā)現(xiàn)一份介紹“IME”使用方法的文檔中有一張這樣的圖片(注：原圖不帶馬賽克)

　　圖片中暴露了使用者的帳號(hào)和密碼位數(shù)為六位數(shù)，于是我猜測(cè)這個(gè)密碼可能是很常見(jiàn)的弱密碼123456，結(jié)果在嘗試之后居然成功登錄：

　　并且我發(fā)現(xiàn)這款軟件并沒(méi)有設(shè)置驗(yàn)證碼和任何限制重復(fù)登錄的措施，于是使用123456作為密碼嘗試其他相近的帳號(hào)，看看有沒(méi)有更多的人使用123456作為密碼。結(jié)果在嘗試短短幾分鐘的手動(dòng)輸入后，居然成功登錄了3個(gè)帳號(hào)，均為管理員。

　　隨后，我已向相關(guān)部門反饋了弱口令問(wèn)題的情況，但同時(shí)也引發(fā)了相關(guān)的思考：

　　一方面，IME的用戶自身安全意識(shí)不強(qiáng)，使用簡(jiǎn)單密碼導(dǎo)致帳號(hào)可能被盜;

　　另一方面也暴露了該應(yīng)用在信息安全方面的不完善。

　　按照上面的操作，即使是一個(gè)不懂任何黑客技術(shù)的小白，也可能可以通過(guò)單純嘗試就成功登錄管理人員的帳號(hào)。如果是黑客通過(guò)撞庫(kù)、社工或是暴力破解等手段進(jìn)行大規(guī)模嘗試，后果可想而知，一旦引發(fā)大規(guī)模的信息泄漏事件，責(zé)任由誰(shuí)來(lái)?yè)?dān)?

　　用戶因弱口令問(wèn)題泄漏信息，誰(shuí)負(fù)責(zé)?

　　弱口令，也就是簡(jiǎn)單密碼，如今已經(jīng)成為了網(wǎng)絡(luò)安全問(wèn)題中最常見(jiàn)、危害最大、也是最容易被黑客利用的問(wèn)題。在網(wǎng)絡(luò)安全防范意識(shí)普遍較弱的今天，為圖方便而使用簡(jiǎn)單密碼的做法很常見(jiàn)。

　　2011年發(fā)生的CSDN密碼明文泄漏事件中的統(tǒng)計(jì)數(shù)據(jù)顯示，純數(shù)字密碼超過(guò)2890000個(gè)，純小寫(xiě)字母密碼超過(guò)740000個(gè)，123456789做密碼的超過(guò)230000。若不是親身試驗(yàn)用123456登錄成功，原本我也并不太相信這些數(shù)據(jù)的真實(shí)性。

　　關(guān)于弱口令知識(shí)，可參考此前雷鋒網(wǎng)的科普文：密碼123456，意味著什么?

　　IME平臺(tái)賬號(hào)分為超級(jí)管理員、學(xué)籍系統(tǒng)管理員、學(xué)籍系統(tǒng)普通用戶三種類型。如果是因?yàn)楣芾韱T使用弱口令(前文中的幾個(gè)賬號(hào)均系管理員)而導(dǎo)致對(duì)應(yīng)的學(xué)生及家長(zhǎng)信息泄漏，該由誰(shuí)來(lái)負(fù)責(zé)呢?而一旦出現(xiàn)稍具規(guī)模的學(xué)生信息因泄漏而開(kāi)始在網(wǎng)絡(luò)黑市流通，誰(shuí)又能區(qū)分究竟是“IME"的運(yùn)營(yíng)公司“天天艾米”將學(xué)生信息用于商業(yè)用途，還是因?yàn)楣芾韱T的個(gè)人原因或黑客攻擊而導(dǎo)致的泄漏呢?恐怕到時(shí)候輿論又將“IME”的管理者推向風(fēng)口浪尖。

　　如何保護(hù)密碼安全?

　　關(guān)于類似該平臺(tái)出現(xiàn)的問(wèn)題，此前我和前DNSPod創(chuàng)始人、網(wǎng)絡(luò)安全專家吳洪聲私底下聊過(guò)。他也提出了幾點(diǎn)看法：

　　”首先，如果不對(duì)登錄次數(shù)進(jìn)行限制，就存在暴力破解的可能性(盡管“IME”要求在登陸十多次之后會(huì)要求輸入驗(yàn)證碼，然而......你懂的);

　　其次，在申請(qǐng)賬號(hào)時(shí)應(yīng)當(dāng)限制用戶密碼長(zhǎng)度和復(fù)雜性，因?yàn)楝F(xiàn)在網(wǎng)民的安全意識(shí)普遍不高，所以如果應(yīng)用不主動(dòng)限制的話，很多用戶圖方便好記就使用簡(jiǎn)單密碼，留下隱患;

　　另外，你可以使用自己的設(shè)備登錄他人賬號(hào)，也說(shuō)明該應(yīng)用沒(méi)有異地登陸保護(hù)、設(shè)備保護(hù)等風(fēng)控措施。"

　　關(guān)于解決方案，其實(shí)，對(duì)密碼復(fù)雜度進(jìn)行限制、登陸入口設(shè)置驗(yàn)證碼、設(shè)置異地登陸、設(shè)備保護(hù)等方式都可以提高賬號(hào)的安全性。生物識(shí)別技術(shù)近年來(lái)發(fā)展迅速，嘗試使用人臉、聲音、指紋識(shí)別來(lái)代替密碼登錄，也可以很好的解決該問(wèn)題，用生物特征替代密碼是今后的趨勢(shì)。而吳洪聲本人現(xiàn)在自己創(chuàng)業(yè)，推出用生物特征識(shí)別替代密碼的身份驗(yàn)證產(chǎn)品——"洋蔥令牌“，也是基于這方面的考慮。

　　隨著生物識(shí)別技術(shù)的普及，越來(lái)越多的身份驗(yàn)證場(chǎng)景開(kāi)始使用生物識(shí)別，比如微信、手機(jī)百度中都已加入“聲音鎖”功能。作為一個(gè)擁有海量用戶和學(xué)生、家長(zhǎng)隱秘信息的超級(jí)應(yīng)用IME，在賬號(hào)安全性方面還有待提高。

　　另一方面，用戶密碼使用習(xí)慣也直接決定了安全性，提高用戶防范意識(shí)方面，可以在推廣“IME”的同時(shí)加強(qiáng)對(duì)老師、家長(zhǎng)及學(xué)生關(guān)于網(wǎng)絡(luò)安全知識(shí)的普及，起碼在要求用戶安裝使用"IME"時(shí)，提醒其注意相關(guān)網(wǎng)絡(luò)安全。

　　2014年，英國(guó)政府就曾發(fā)起Year of Code活動(dòng)，鼓勵(lì)區(qū)域內(nèi)每一所學(xué)校至少教小學(xué)生們1小時(shí)基礎(chǔ)編程知識(shí)的活動(dòng)。美國(guó)總統(tǒng)奧巴馬在今年年初也曾呼吁“每個(gè)美國(guó)人都應(yīng)學(xué)習(xí)編程”。

　　置疑之后，更應(yīng)理性對(duì)待

　　不知為何，但凡政府部門出的應(yīng)用，質(zhì)疑聲從來(lái)都少不了，鐵道部的12306如此，教育部的IME也是如此，我想即使“IME”真的集成“洋蔥令牌”這類用人臉、聲音、指紋等生物信息替代密碼以解決弱口令問(wèn)題的產(chǎn)品功能，恐怕又會(huì)有人質(zhì)疑其“企圖收集用戶生物信息用于商業(yè)用途”。質(zhì)疑總會(huì)有，但不應(yīng)該阻止創(chuàng)新和進(jìn)步。

　　無(wú)論存在多少輿論和質(zhì)疑，IME的出現(xiàn)不是偶然，而是我國(guó)互聯(lián)網(wǎng)和教育信息化發(fā)展到一定階段的結(jié)果。因?yàn)闊o(wú)論公眾存在多少質(zhì)疑，這樣一個(gè)平臺(tái)和應(yīng)用的出現(xiàn)確實(shí)能為教育從業(yè)者、家長(zhǎng)和學(xué)生提供更好的服務(wù)，也確實(shí)對(duì)我國(guó)教育信息化的進(jìn)程起到很大的推進(jìn)作用。