9月29日，教育部官方網(wǎng)站再次通過媒體向公眾保證，IME沒有透露任何信息。這是繼教育部官方網(wǎng)站5月30日后，“教育技術(shù)服務(wù)平臺(tái)”公開發(fā)布的“國(guó)家教育技術(shù)服務(wù)平臺(tái)”，并再次強(qiáng)調(diào)學(xué)生信息安全。

根據(jù)教育部9月29日向媒體公布的數(shù)據(jù)，全國(guó)中小學(xué)生信息管理系統(tǒng)已完成1.9億學(xué)生信息存儲(chǔ)，數(shù)量將繼續(xù)增加，最終覆蓋全國(guó)28萬多所學(xué)校，所有信息通過“教育技術(shù)服務(wù)平臺(tái)”（簡(jiǎn)稱“IME”）的應(yīng)用程序上傳。

　　“不經(jīng)意”的嘗試，小白如何獲取"IME"的管理員賬號(hào)?

我想親自體驗(yàn)這個(gè)超級(jí)應(yīng)用程序，但我發(fā)現(xiàn)我需要使用學(xué)生的注冊(cè)碼進(jìn)行注冊(cè)。

由于我無法登錄體驗(yàn)，我希望通過搜索引擎找到其他細(xì)節(jié)，但無意中在“IME”方法中找到了某個(gè)文檔。 （注：沒有鑲嵌的原始圖片）

圖像顯示用戶的帳號(hào)和密碼數(shù)字是六位數(shù)，所以我猜這個(gè)密碼可能是一個(gè)非常常見的弱密碼123456，登錄后結(jié)果是成功的：

我發(fā)現(xiàn)該軟件沒有設(shè)置驗(yàn)證碼和重復(fù)登錄的任何限制，因此使用123456作為密碼來嘗試其他類似帳戶，看看是否有更多人使用123456作為密碼。因此，在幾分鐘內(nèi)嘗試手動(dòng)輸入后，我成功登錄了3個(gè)帳戶，所有帳戶都是管理員。

隨后，我向有關(guān)部門反饋了弱密碼問題，也引發(fā)了相關(guān)思考：

一方面，IME用戶不了解自己的安全性，使用簡(jiǎn)單的密碼可能會(huì)導(dǎo)致帳戶被盜;

另一方面，它也揭示了信息安全應(yīng)用的不完善之處。

根據(jù)上述操作，即使您不了解任何黑客技術(shù)，您也可以通過簡(jiǎn)單的嘗試成功登錄管理員帳戶。如果黑客通過圖書館，社會(huì)工作者或蠻力攻擊進(jìn)行大規(guī)模的嘗試，可以想象后果。誰將對(duì)大規(guī)模的信息泄漏事件負(fù)責(zé)？

　　用戶因弱口令問題泄漏信息，誰負(fù)責(zé)?

弱密碼是簡(jiǎn)單的密碼，已成為最常見，最有害，最易受黑客攻擊的密碼。今天，當(dāng)網(wǎng)絡(luò)安全意識(shí)普遍較弱時(shí)，為方便起見，通常使用簡(jiǎn)單的密碼。

2011年發(fā)生的CSDN密碼明文泄密事件統(tǒng)計(jì)顯示，純數(shù)字密碼數(shù)量超過2890000，純小寫字母數(shù)量超過740000，密碼數(shù)量123456789超過23萬。如果我沒有使用123456成功登錄，我真的不相信數(shù)據(jù)的真實(shí)性。

對(duì)于弱密碼知識(shí)，請(qǐng)參考以前的雷鋒科普：密碼123456，這是什么意思？

IME平臺(tái)帳戶分為三種類型：超級(jí)管理員，學(xué)生系統(tǒng)管理員和學(xué)生狀態(tài)系統(tǒng)的一般用戶。如果管理員使用弱密碼（上一節(jié)中的幾個(gè)帳戶是管理員）并且相應(yīng)的學(xué)生和家長(zhǎng)信息被泄露，誰負(fù)責(zé)呢？一旦小規(guī)模的學(xué)生信息因泄漏而開始泄漏在網(wǎng)絡(luò)黑市流通中，誰可以區(qū)分它是“IME的運(yùn)營(yíng)公司”Everyday Amy“;將學(xué)生信息用于商業(yè)目的，還是由于個(gè)人原因或管理員造成的黑客攻擊？恐怕當(dāng)時(shí)，輿論將“IME”的管理者推到了最前沿。

　　如何保護(hù)密碼安全?

關(guān)于類似這個(gè)平臺(tái)的問題，我曾與前香港Pod創(chuàng)始人和網(wǎng)絡(luò)安全專家吳洪生私下談過。他還發(fā)表了一些評(píng)論：

”首先，如果你沒有限制登錄次數(shù)，就有可能出現(xiàn)暴力（雖然“IME”要求你在登錄十次以后輸入驗(yàn)證碼，但是......你知道）;/P>

其次，在申請(qǐng)賬戶時(shí)，用戶密碼的長(zhǎng)度和復(fù)雜性應(yīng)該受到限制，因?yàn)榫W(wǎng)民的安全意識(shí)一般不高，所以如果申請(qǐng)沒有受到主動(dòng)限制，很多用戶圖很容易記住使用簡(jiǎn)單密碼，留下隱患; p>

此外，您可以使用自己的設(shè)備登錄其他人的帳戶，還可以指示應(yīng)用程序沒有遠(yuǎn)程訪問保護(hù)，設(shè)備保護(hù)和其他風(fēng)險(xiǎn)控制措施。 “

關(guān)于解決方案，實(shí)際上，對(duì)密碼復(fù)雜性，登錄入口驗(yàn)證碼，設(shè)置場(chǎng)外登錄，設(shè)備保護(hù)等的限制可以提高帳戶的安全性。生物識(shí)別技術(shù)近年來發(fā)展迅速。嘗試使用面部，語音和指紋識(shí)別而不是密碼登錄也可以很好地解決這個(gè)問題。用生物識(shí)別技術(shù)取代密碼是未來的趨勢(shì)。吳洪生本人現(xiàn)在開始自己的事業(yè)并推出一種使用生物識(shí)別技術(shù)代替密碼的認(rèn)證產(chǎn)品—— '洋蔥標(biāo)記'也是基于這種考慮。

隨著生物識(shí)別技術(shù)的普及，越來越多的認(rèn)證場(chǎng)景開始使用生物識(shí)別技術(shù)。例如，微信和移動(dòng)百度都添加了“聲音鎖定”功能。作為一個(gè)具有大量用戶和學(xué)生的超級(jí)應(yīng)用IME，父母的秘密信息，帳戶安全性仍有提升空間。

另一方面，用戶密碼使用習(xí)慣也直接決定了安全性，增強(qiáng)了用戶的預(yù)防意識(shí)。它可以促進(jìn)教師，家長(zhǎng)和學(xué)生的網(wǎng)絡(luò)安全知識(shí)的普及，同時(shí)促進(jìn)“IME”，至少要求用戶安裝和使用。當(dāng)'IME'時(shí)，提醒他們注意相關(guān)的網(wǎng)絡(luò)安全。

2014年，英國(guó)政府啟動(dòng)了“守則年”活動(dòng)，鼓勵(lì)該地區(qū)的每所學(xué)校至少教授一小時(shí)的基本編程知識(shí)。今年年初，美國(guó)總統(tǒng)巴拉克奧巴馬也呼吁“每個(gè)美國(guó)人都應(yīng)該學(xué)習(xí)編程”。

　　置疑之后，更應(yīng)理性對(duì)待

我不知道為什么，但政府部門的應(yīng)用，懷疑的聲音總是不可或缺的，鐵道部12306，教育部的IME也是一樣的，我想即使“IME”真的是整合的“洋蔥令牌“生物識(shí)別信息，如聲音，指紋和其他生物識(shí)別信息，以取代密碼，以解決弱密碼問題的產(chǎn)品功能，恐怕有人會(huì)質(zhì)疑它并”試圖收集用戶生物識(shí)別信息用于商業(yè)用途”?？偸谴嬖谝蓱]，但不應(yīng)該停止創(chuàng)新和進(jìn)步。

無論有多少輿論和疑慮，IME的出現(xiàn)并非偶然，而是中國(guó)互聯(lián)網(wǎng)和教育信息化發(fā)展到一定階段的結(jié)果。因?yàn)闊o論公眾有多么懷疑，這種平臺(tái)和應(yīng)用的出現(xiàn)確實(shí)可以為教育從業(yè)者，家長(zhǎng)和學(xué)生提供更好的服務(wù)，也對(duì)推動(dòng)中國(guó)教育信息化進(jìn)程起到了重要作用。

« 色情域名搶注，微軟，哈佛強(qiáng)強(qiáng)聯(lián)手 | 開關(guān)版《茶杯頭》已經(jīng)開始銷售正式發(fā)售！ »