“安全问题”的安全问题

1、安全问题”的安全问题摘 要：文章从网站设计者的角度分析了申请网络账 号时需要设定“安全问题”这一保护措施的初衷，并且深入 研究了“安全问题”涉及到的个人隐私信息。阐述了在互联 网技术高速发展下，网站被动泄密造成个人用户信息安全受 到危害的可能性，进而使用户在金融和身心方面造成二次伤 害的可能性。最后针对这一问题，从用户的角度提出了主动 防御的安全建议，能够减少或避免较大的安全隐患。关键词：安全问题；信息安全；信息泄漏；安全隐患引言在申请 QQ 账号、网易邮箱等网络账号的时候，网站通 常建议用户设置“安全问题” ，以确保忘记密码的情况下可 以通过这些问题来找回自己“信息” 。这些“安全问题”在

2、很大程度上的确保证了账号丢失后的找回，带来了一定的 “安全”，但同时却也带来了更大的安全隐患。1 “安全问题”初衷与问题内容分析 “安全问题”主要是网络社交等账号提供商为确保用户 可以找回可能丢失的账户而设计的一些与用户相关的问题。 在实际应用中， 腾讯、网易等服务提供者， 通过“安全问题” 的保护措施帮助庞大的用户群找回了宝贵的信息资料，在这方面起到了重要作用通过统计分析发现，这些“安全问题”包含的内容，往 往涉及到用户的相关隐私信息。这些安全问题的内容包含： 用户父母的姓名、生日，用户的工号、证件号、手机号以及 用户朋友姓名等隐私信息， 在某些情况下有些网站 （如腾讯、 小米等，但并不强制

3、）甚至需要提供用户身份证号等信息。 这样设计的主要原因是这些内容用户熟知且不需要额外记 忆，相对于繁杂的账户密码更难忘记，同时也使得账户更不 容易丢失。虽然在填写“安全问题”时，并不要求用户填写真实的 信息，但往往填写虚假答案需要更多的额外记忆量。一旦丢 失账号并且忘记所填写的答案，则几乎完全不可能找回账户 信息。因此，更多的人倾向于填写真实有关隐私的答案。2 隐患存在的可能性以前很多人很少思考将隐私信息交给大型网站所带来 的安全隐患，总要一个好的梦想：大型网站的安全性一定很 高，所用的技术也一定很先进；忽略了技术在不断进步，昨 天可能安全的东西，今天就会变得漏洞百出。首先，时代在进步，互联网

4、技术在发展，没有任何一家 公司必定会一直在技术上遥遥领先。摩托罗拉、诺基亚等公 司在几年前如日中天，现在却已经几乎消失不见，最根本的 原因是在相关技术领域已经不能处于领先水平，其地位被其他公司代替；而华为、中兴、小米等手机公司却好像突然强 大，也是由于技术的进步。 其次，大型网站已多次发生安全事故，并非大公司就一 定安全。较为著名的信息泄漏事件有：美国 Apple 公司发生 的好莱坞女星私密照片泄漏事件（ 2014 年 9 月，报道广泛， 涉及用户 10 个以下）、中国 12306 网站大量退票事件（ 2014 年 12 月，乌云网发布，涉及用户十几万） 、网易账号大量泄 漏事件（ 2015

5、年 9 月，乌云网白帽子测试发布，涉及用户约 5 亿）。当然这样的统计数据并非 100%精确，也有可能是通 过其他网站信息来进行推断破解的，但可在一定程度上说明 这些大公司确实存在一些安全漏洞。最后，大型网站系统安全维护者存在对手“黑客” 。网 络上存在一些喜欢对网络安全进行分析并攻击的人，他们称 为“黑客”，在技术方面并不输给大型网络公司的安全技术 人员。3 安全隐患的危害 个人信息的泄漏往往会带来不同程度的危害，小到仅仅 信息泄漏， 达到危及金融账户安全， 甚至危及个人性命安全， 带来的危害从小到大具体描述如下。3.1 仅仅个人信息泄漏 这一类危害性最小，仅仅是泄漏了信息，并没有来主动 破

6、坏用户安全。并没有带来更大的危害，但这一类是其他几种严重危害的基础，严重的危害用户的信息是通过对大量这 类消息进行数据分析、检索、判断后得到的。3.2 个人信息网络曝光这类危害主要是对明星、企业以及政府等相关人员危害 较大。如各种“艳照门”类的“门”事件，会对所涉及个人 造成严重的心理或生活的伤害；又如一些上市企业的关键技 术人员的有些不良信息曝光，会影响公司股票投资等等。3.3 银行等金融账户被盗 主要是通过在其他网络上泄漏的账号和密码与金融银 行类网站进行配对和比较，如果金融账户用户名与密码正好 相同，则可以进入金融账户，将其内部资金转账或者消费。 这一类危害最容易引起注意，对普通人们的危

7、害较大，范围 也最广。3.4 个人生命安全受到威胁主要是通过获取个人信息中的住址、联系方式，然后结 合用户在社区平台（如人人网、 QQ 空间）上的照片，来进 行行为习惯分析，最后达到危害人身安全的目的，这类对个 人的危害性最大。4 减少安全隐患的建议对于由“安全问题”带来的安全隐患，可以通过一些手 段减小隐患，提高自己信息的安全度，具体的方式如下。4.1 设计一套有关自己的安全信息在这套安全信息里面，使用完全虚假的信息填充，要包 含：自己的名字和生日、学号以及工号，最好朋友姓名，自 己的所有学历，故乡和工作地址，父母姓名和生日等等。如 果在一些网络社交账户（非必需正确信息等的金融账户）中 要求“安全问题” ，通过这些设定好的虚假内容填写。4.2 最好不要将常用邮箱账户名作为金融类帐户名在支付宝、财付通等网络金融账户中，通常将常用邮箱 作为安全邮箱甚至登入名，这样比较危险。常用的邮箱登入 次数多，甚至与可能与很多其他网站账户绑定，当这些网站 的出现安全隐患时，容易通过密码联想撞破金融账户密码； 更有甚者其密码本来就一样，危险则更大。4.3 在对所有人公开的社交网络空间尽量少放置个人照 片等信息在对所有人公开的社交网络空间放置个人照片等信息 容易让别有用心的人通过图片附带文字或网络评论获取个 人生活习惯、家庭学校住址等信息，这些信息会给坏人造成 更多可乘之机。5 结束