青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 也看iPad商标权之争小众性内容博客的窘境与机遇 »

京东商城账户盗刷的对策

  据《北京晨报》报道,近日,不少京东商城的个人账户被盗刷,柳女士反映,她的京东账户被人盗刷,密码被修改。对此现象,京东商城有关人士昨天表示,经过初步调查,账户被盗刷的用户所使用的京东商城账号、密码,大多与该用户在已被泄露信息的其他网站相同,结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

  去年年底,CSDN、天涯社区相继发生用户数据泄露事件后,互联网行业人心惶惶。同样,在用户数据最为重要的电商领域,也不断传出存在漏洞,用户信息遭泄露的消息。由于不少用户在多个网站使用同一账号、密码,一旦有一家网站发生信息泄露,该用户在其他网站的账户信息便难以保证安全。因此,京东商城近期的频遭盗刷的原因,恐怕还是去年“泄密门”事件的后遗症。

  电商网站负有责任

  对于客户个人账户被盗刷,电商网站负有一定责任。去年天涯CSDN的泄密数据库已经广泛传播的情况下,京东商城应该对此进行预警和处理,通过程序自动扫描并限制同名同密码用户。

  扫描用户的方法是,把目前已有的天涯、CSDN泄密库密码,经运算后得出哈希值,和自己数据库里的邮箱和密码进行对比,如果邮箱和密码匹配,就可以判断该用户使用的是相同的密码。

  找到这些用户之后,就可以对其采取进一步的措施:

  1、给这些用户的电子邮箱或手机发送警告信息,告知其用户名和密码处于危险状态,要求用户登录系统并修改密码。

  2、对账户采取保护措施,同一城市的IP登录后,在用户修改密码之前,不能进行任何操作,强制其修改密码;如果出现异地登录情况,则自动锁定账户,同时给用户发送短信或邮件警告登录异常情况。

  3、用户修改密码的时候,要求用户不能输入简单密码,必须是八位以上的字母和数字组合。

  电商网站的义务

  显然,京东商城并没有按照上述的操作保护自己用户的财产安全,这里面的原因有以下几个:

  1、企业不重视安全,对网络安全投入不够,网络安全技术人员得不到重视,在企业的地位和收入不高,即使有员工发现了安全问题,也没有时间和精力进行处理。最终造成网络应用漏洞很多,让不法分子有机可趁。

  2、国家在网络安全方面的立法相对还较为滞后,对于相关问题缺少法律方面的制裁,对于那些疏于安全保护的商业网站,也没有给予惩罚。如果今后再次发生类似情况,应该通过完善相关法律,追究网站的渎职之责,要求网站对用户进行相应的赔偿。

  3、主动服务用户的意识淡漠,没有把用户的利益放在第一位,对用户不负责任。

  网民的责任

  另一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

  如果网民贪图方便,上网只使用一个密码,那么在密码被泄露之后,应该在第一时间去各个网站修改密码,并尽快采取密码分级管理的措施。

  技术解决方案

  解决这类密码安全问题,一个比较好的技术解决方案,就是使用动态密码或者USB KEY,目前腾讯的手机令牌和Google的两步验证都是基于动态密码技术的,用户在登录的时候,除了要输入原有用户名和密码之外,还要输入自己手机上产生的一个动态密码,这个密码按照时间或使用次数不断动态变化,每个密码只使用一次,从而极大增强了用户密码的安全性。

Google

  动态密码技术可以免费安装在用户的智能手机上,因此对于用户来说,几乎没有成本,唯一的问题就是,登录的时候似乎比以前麻烦了一些,有两种方法可以解决,一种是设置某个城市的IP登录不需要动态密码(腾讯的手机令牌就这么做的),另一种是在单台电脑保持三十天再输入一次(Google的做法),这样设置之后,就可以即保证用户登录的安全,又不增加用户的使用难度。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/2998.html
  • 文章排行:
  • 1.安德森neo
  • 近期微博被盗人数增多,是不是也和CSDN等网站信息泄露有关呢
  • 2012/2/15 22:16:22   支持(22)反对(13) 回复
  • 2.清风
  • 电不信与联不通这两个龟孙子真的坑爹,深圳下吉林联通一个文件只有20K的速度,空有12M网络!
    狗日的东芝也坑爹,不卖南方场了?
  • 2012/2/15 23:59:26   支持(21)反对(12) 回复
  • 3.完全不知道糟糕能要起神马名字啊
  • 自己的网络账户为什么要靠别人的提醒才去关注?方舟子之流放眼天下……遍地都是
  • 2012/2/16 0:55:11   支持(16)反对(9) 回复
  • 4.鱼_内心这个惆怅啊
  • 自己的钱自己不重视等别人帮你看管?又不是银行,为什么不自己多重视?
  • 2012/2/16 1:10:40   支持(18)反对(11) 回复
  • 5.we
  • 不要盲目相信网页版邮箱是安全的。GMAIL也出过一些漏洞。两步登陆能防得住你登陆之后的漏洞?有一些跨站脚本漏洞可以在不知道你密码的情况下,获得你的邮箱权限.
  • 2012/2/16 5:47:38   支持(16)反对(9) 回复
  • 6.逸宏
  • 广告投入再多也是浮夸,关键是用户体验以及真正为用户着想的经营理念。
  • 2012/2/15 22:10:33   支持(12)反对(7) 回复
  • 7.hdisk
  • 没搞清楚,京东账号就算被盗,钱也应该不会有损失啊,难道他在京东立面存了很多钱不成?
  • 2012/2/15 22:29:46   支持(14)反对(9) 回复
  • 9.Jack于游
  • 接到过更改密码通知的网站有豆瓣,网易,人人等,赞一个豆瓣,要求强行更改密码。 其实这个不应该怪电商的程序员,电商的程序员估计每天都在处理各种市场的需求和订单,这些只有真的做过的人才知道其中的心酸。安心坐下来优化程序、结构可能都是很奢侈的事情。
    XGM 于 2012-2-16 10:51:19 回复
    呵呵,电商核心就是订单!木有办法的事情!
  • 2012/2/16 0:09:41   支持(22)反对(17) 回复
  • 10.星空下的枫林
  • 被盗刷的人安全意识也太差了,信用卡密码和公众网站登录密码一样的?
  • 2012/2/16 1:37:46   支持(11)反对(6) 回复
  • 11.健身方法
  • 京东大佬 信誉不错的啊
  • 2012/2/16 11:30:33   支持(28)反对(23) 回复
  • 12.营养师工会
  • 这个真是,京东做的不错吖,怎么能出现这样的漏洞,楼主谢谢分享,以后就货.到.付.款.了。 继续分享,会常来的。
  • 2012/2/18 10:15:15   支持(12)反对(7) 回复
  • 13.5101白水
  • 老大,是什么意思?是个人账户的钱被消费了吗?我觉得淘宝的支付宝那个快捷支付最恐怖,按照淘宝这个用户量,要是丢了手机和钱包,基本上就OVER了。
  • 2012/2/15 22:44:26   支持(15)反对(11) 回复
  • 14.最后的土拨鼠
  • 反正上面不存钱,反正天天上网的,早全面改过了
  • 2012/2/16 0:18:24   支持(10)反对(7) 回复
  • 15.食堂承包
  • 我是收到很多网站提醒也没改。他们是核实过泄露了的要改还是直接要全部用户改呀
  • 2012/2/16 9:33:13   支持(15)反对(12) 回复
  • 16.liuInsect
  • .....错上再错 是不可忍受...
  • 2012/2/15 22:34:45   支持(15)反对(13) 回复
  • 17.happycity333
  • 对!!就是利益第一位!!!
  • 2012/2/15 23:17:23   支持(8)反对(6) 回复
  • 18.传世伊文
  • 用户自己都不去改,京东要怎么做?帮用户改密码?
  • 2012/2/15 23:49:19   支持(10)反对(8) 回复
  • 19.甭管那么多走一个先
  • 用户利益第一这种事儿在我朝是不存在的,谁这么干就跟当年夹边沟不肯吃草根、撸草籽的那帮右派一样,会活活饿死的。
  • 2012/2/16 0:01:56   支持(12)反对(10) 回复
  • 20.LoftLow
  • 表示那些对用户不负责任的网站警钟
  • 2012/2/16 1:01:57   支持(12)反对(10) 回复
  • 21.jack_1987
  • 这个推理成立。很多网站都强制性的要求修改密码
  • 2012/2/15 22:05:25   支持(10)反对(9) 回复
  • 22.waiting的无限博客
  • 分享新闻也不错 毕竟写了那么多年了 技术性的东西写的都差不多了只能往新闻上靠了 其实很正常 一个博客写那么多年 都会遇到这种瓶颈
  • 2012/2/15 23:43:40   支持(13)反对(12) 回复
  • 23.地下工作者丁浩贰世
  • 还好不用京东,网购也基本选到付
  • 2012/2/15 23:44:29   支持(15)反对(14) 回复
  • 24.五心朝天坐
  • 最近谷歌总打不开,难道又有什么谈判角力的问题,我们只是想查点技术文档,我希望如果哪天中国掌握了高科技,你们随便屏蔽谷歌之类的。
  • 2012/2/16 0:04:50   支持(18)反对(17) 回复
  • 25.编程入门
  • 电商网站忙的是进货出货,对于网络安全方面关心不够,因为它不能让他们看到直接利益。
  • 2012/2/16 9:07:17   支持(12)反对(11) 回复
  • 27.排骨的呐喊
  • 要么就禁止已泄露的同名用户登录,核实个人信息后再行开通。要么就暂时冻结该用户购物结付权限。这样不管不问实在欠妥
  • 2012/2/15 22:27:58   支持(13)反对(13) 回复
  • 28.逆水行辕
  • 他们说,赚钱才是第一位的。
  • 2012/2/15 22:38:37   支持(12)反对(12) 回复
  • 29.李_维盛
  • 用户有个屁损失啊! 损失的是京东吧!
  • 2012/2/15 22:41:32   支持(13)反对(13) 回复
  • 30.JDoc
  • 你也可以说,用户自己都不在意自己的信息。
  • 2012/2/15 23:25:07   支持(10)反对(10) 回复
  • 32.龙旋风神
  • 扫描下自己的同名密码?!国内乌鸦一般黑啊!
  • 2012/2/15 23:40:37   支持(13)反对(13) 回复
  • 33._远行者
  • 确实是技术不行。。据听说京东要重组技术团队。。
  • 2012/2/16 0:48:24   支持(14)反对(14) 回复
  • 36.李晨浩lch
  • 京东不是一个对技术要求很高的公司
  • 2012/2/15 23:21:15   支持(14)反对(15) 回复
  • 37.Fantastic_Tony
  • 可以扫描用户密码?自己黑自己用户?喷的太无脑了吧?如果是匹配一下用户名,然后做限制是可以的。
  • 2012/2/15 23:28:02   支持(14)反对(15) 回复
  • 39.冰是卖萌的咩
  • 我觉得无所谓,当然不值得嘉奖,但绝对谈不上有错,真的怕被盗怎么不去查一下自己CSDN的帐号密码。。。用户自己不care怪谁
  • 2012/2/16 0:15:29   支持(16)反对(17) 回复
  • 40.ttylikl
  • 其实个人习惯还是蛮重要的,比如跟电商相关的密码,从来不在其他网站使用,比如从来不要在电商存钱。。。等等。
  • 2012/2/16 0:32:55   支持(11)反对(12) 回复
  • 41.itez
  • 如果京东真那么做了才叫有问题吧?
  • 2012/2/16 0:39:41   支持(11)反对(12) 回复
  • 43.gouyn12
  • 现在的中国电商,并不注重安全的,甚至支付宝都出这样的事,只希望军网别出这样的事情就行了,这是最低标准了的。
  • 2012/2/16 10:33:58   支持(13)反对(14) 回复
  • 45.银河黑洞
  • 以前叫小刘的时候,是为人民服务。现在叫刘董的时候,是为人民币服务。
  • 2012/2/16 0:45:30   支持(15)反对(18) 回复
  • 46.colaghost
  • 京东丫的送货人员态度差到死,很讨厌在它上面买东西
  • 2012/2/16 1:07:46   支持(12)反对(15) 回复
  • 47.火星大胖
  • 自从上次京东上演实时提价的鬼把戏以后,再没在他家买过一毛钱东西
  • 2012/2/15 23:05:46   支持(10)反对(14) 回复
  • 49.深圳劳动纠纷律师
  • 我是受害者,无语啊
  • 2012/2/16 11:45:37   支持(13)反对(17) 回复
  • 50.Overmind
  • 京东的账户不存钱。实际上,好像几个网购站都有提醒过用户改密码的,用户自己不改怪得谁来
  • 2012/2/16 14:52:14   支持(4)反对(8) 回复
  • 51.small__small
  • 哎,利益第一的社会,谁还管谁,钱是第一位的。。
  • 2012/2/16 0:23:14   支持(8)反对(13) 回复
  • 52.最后的土拨鼠
  • 真正危险的,是淘宝的支付宝吧
  • 2012/2/16 0:27:07   支持(8)反对(13) 回复
  • 53.小涂同学_
  • 有道理…话说我的密码世界通行…
  • 2012/2/15 22:50:15   支持(7)反对(15) 回复
  • 54.silverfox-Yu
  • 这话说得好啊“归根到底,最终原因还是没有把用户的利益放在第一位”,我的卓越帐号就收到了这个邮件
  • 2012/2/16 1:19:23   支持(12)反对(20) 回复
  • 55.weey
  • 只能说这部分人安全意识很低啊,购物网站的密码都敢这么简单。。。要提醒用户密码有问题,不只是京东要做吧。。。
  • 2012/2/15 23:56:06   支持(8)反对(18) 回复
  • 56.松亮博客
  • 看见博客变化很大,支持
  • 2012/4/19 23:43:31   支持(8)反对(18) 回复
  • 57.曾经以为世界很美
  • 这个怪京东有点牵强吧。
  • 2012/2/15 23:12:32   支持(14)反对(25) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.