月光博客 » 互联网络 » 京东商城账户盗刷的对策

京东商城账户盗刷的对策

  据《北京晨报》报道,近日,不少京东商城的个人账户被盗刷,柳女士反映,她的京东账户被人盗刷,密码被修改。对此现象,京东商城有关人士昨天表示,经过初步调查,账户被盗刷的用户所使用的京东商城账号、密码,大多与该用户在已被泄露信息的其他网站相同,结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

  去年年底,CSDN、天涯社区相继发生用户数据泄露事件后,互联网行业人心惶惶。同样,在用户数据最为重要的电商领域,也不断传出存在漏洞,用户信息遭泄露的消息。由于不少用户在多个网站使用同一账号、密码,一旦有一家网站发生信息泄露,该用户在其他网站的账户信息便难以保证安全。因此,京东商城近期的频遭盗刷的原因,恐怕还是去年“泄密门”事件的后遗症。

  电商网站负有责任

  对于客户个人账户被盗刷,电商网站负有一定责任。去年天涯CSDN的泄密数据库已经广泛传播的情况下,京东商城应该对此进行预警和处理,通过程序自动扫描并限制同名同密码用户。

  扫描用户的方法是,把目前已有的天涯、CSDN泄密库密码,经运算后得出哈希值,和自己数据库里的邮箱和密码进行对比,如果邮箱和密码匹配,就可以判断该用户使用的是相同的密码。

  找到这些用户之后,就可以对其采取进一步的措施:

  1、给这些用户的电子邮箱或手机发送警告信息,告知其用户名和密码处于危险状态,要求用户登录系统并修改密码。

  2、对账户采取保护措施,同一城市的IP登录后,在用户修改密码之前,不能进行任何操作,强制其修改密码;如果出现异地登录情况,则自动锁定账户,同时给用户发送短信或邮件警告登录异常情况。

  3、用户修改密码的时候,要求用户不能输入简单密码,必须是八位以上的字母和数字组合。

  电商网站的义务

  显然,京东商城并没有按照上述的操作保护自己用户的财产安全,这里面的原因有以下几个:

  1、企业不重视安全,对网络安全投入不够,网络安全技术人员得不到重视,在企业的地位和收入不高,即使有员工发现了安全问题,也没有时间和精力进行处理。最终造成网络应用漏洞很多,让不法分子有机可趁。

  2、国家在网络安全方面的立法相对还较为滞后,对于相关问题缺少法律方面的制裁,对于那些疏于安全保护的商业网站,也没有给予惩罚。如果今后再次发生类似情况,应该通过完善相关法律,追究网站的渎职之责,要求网站对用户进行相应的赔偿。

  3、主动服务用户的意识淡漠,没有把用户的利益放在第一位,对用户不负责任。

  网民的责任

  另一方面,网友对于注册网络服务,应该采取密码分级管理,邮箱、网上支付、聊天账号等重要账号要单独设置密码;论坛等普通网站使用其他的密码;网上银行密码不要和取款密码相同,也不和其他网站密码相同。支付宝要安装数字证书,网银则要申请USB KEY。

  如果网民贪图方便,上网只使用一个密码,那么在密码被泄露之后,应该在第一时间去各个网站修改密码,并尽快采取密码分级管理的措施。

  技术解决方案

  解决这类密码安全问题,一个比较好的技术解决方案,就是使用动态密码或者USB KEY,目前腾讯的手机令牌和Google的两步验证都是基于动态密码技术的,用户在登录的时候,除了要输入原有用户名和密码之外,还要输入自己手机上产生的一个动态密码,这个密码按照时间或使用次数不断动态变化,每个密码只使用一次,从而极大增强了用户密码的安全性。

Google

  动态密码技术可以免费安装在用户的智能手机上,因此对于用户来说,几乎没有成本,唯一的问题就是,登录的时候似乎比以前麻烦了一些,有两种方法可以解决,一种是设置某个城市的IP登录不需要动态密码(腾讯的手机令牌就这么做的),另一种是在单台电脑保持三十天再输入一次(Google的做法),这样设置之后,就可以即保证用户登录的安全,又不增加用户的使用难度。

顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    安德森neo   说道:
    近期微博被盗人数增多,是不是也和CSDN等网站信息泄露有关呢
    支持(22反对(13回复
  1. 2
    清风   说道:
    电不信与联不通这两个龟孙子真的坑爹,深圳下吉林联通一个文件只有20K的速度,空有12M网络!
    狗日的东芝也坑爹,不卖南方场了?
    支持(21反对(12回复
  1. 自己的网络账户为什么要靠别人的提醒才去关注?方舟子之流放眼天下……遍地都是
    支持(16反对(9回复
  1. 自己的钱自己不重视等别人帮你看管?又不是银行,为什么不自己多重视?
    支持(18反对(11回复
  1. 5
    we   说道:
    不要盲目相信网页版邮箱是安全的。GMAIL也出过一些漏洞。两步登陆能防得住你登陆之后的漏洞?有一些跨站脚本漏洞可以在不知道你密码的情况下,获得你的邮箱权限.
    支持(16反对(9回复
  1. 6
    逸宏   说道:
    广告投入再多也是浮夸,关键是用户体验以及真正为用户着想的经营理念。
    支持(12反对(7回复
  1. 7
    hdisk   说道:
    没搞清楚,京东账号就算被盗,钱也应该不会有损失啊,难道他在京东立面存了很多钱不成?
    支持(14反对(9回复
  1. 8
    Ken_Hust   说道:
    还有小部分是啥原因?
    支持(13反对(8回复
  1. 9
    Jack于游   说道:
    接到过更改密码通知的网站有豆瓣,网易,人人等,赞一个豆瓣,要求强行更改密码。 其实这个不应该怪电商的程序员,电商的程序员估计每天都在处理各种市场的需求和订单,这些只有真的做过的人才知道其中的心酸。安心坐下来优化程序、结构可能都是很奢侈的事情。
    XGM 于 2012-2-16 10:51:19 回复
    呵呵,电商核心就是订单!木有办法的事情!
    支持(22反对(17回复
  1. 10
    星空下的枫林   说道:
    被盗刷的人安全意识也太差了,信用卡密码和公众网站登录密码一样的?
    支持(11反对(6回复
  1. 11
    健身方法   说道:
    京东大佬 信誉不错的啊
    支持(28反对(23回复
  1. 12
    营养师工会   说道:
    这个真是,京东做的不错吖,怎么能出现这样的漏洞,楼主谢谢分享,以后就货.到.付.款.了。 继续分享,会常来的。
    支持(12反对(7回复
  1. 13
    5101白水   说道:
    老大,是什么意思?是个人账户的钱被消费了吗?我觉得淘宝的支付宝那个快捷支付最恐怖,按照淘宝这个用户量,要是丢了手机和钱包,基本上就OVER了。
    支持(15反对(11回复
  1. 14
    最后的土拨鼠   说道:
    反正上面不存钱,反正天天上网的,早全面改过了
    支持(10反对(7回复
  1. 15
    食堂承包   说道:
    我是收到很多网站提醒也没改。他们是核实过泄露了的要改还是直接要全部用户改呀
    支持(15反对(12回复
  1. 16
    liuInsect   说道:
    .....错上再错 是不可忍受...
    支持(15反对(13回复
  1. 17
    happycity333   说道:
    对!!就是利益第一位!!!
    支持(8反对(6回复
  1. 18
    传世伊文   说道:
    用户自己都不去改,京东要怎么做?帮用户改密码?
    支持(10反对(8回复
  1. 用户利益第一这种事儿在我朝是不存在的,谁这么干就跟当年夹边沟不肯吃草根、撸草籽的那帮右派一样,会活活饿死的。
    支持(12反对(10回复
  1. 20
    LoftLow   说道:
    表示那些对用户不负责任的网站警钟
    支持(12反对(10回复
  1. 21
    jack_1987   说道:
    这个推理成立。很多网站都强制性的要求修改密码
    支持(10反对(9回复
  1. 22
    waiting的无限博客   说道:
    分享新闻也不错 毕竟写了那么多年了 技术性的东西写的都差不多了只能往新闻上靠了 其实很正常 一个博客写那么多年 都会遇到这种瓶颈
    支持(13反对(12回复
  1. 还好不用京东,网购也基本选到付
    支持(15反对(14回复
  1. 24
    五心朝天坐   说道:
    最近谷歌总打不开,难道又有什么谈判角力的问题,我们只是想查点技术文档,我希望如果哪天中国掌握了高科技,你们随便屏蔽谷歌之类的。
    支持(18反对(17回复
  1. 25
    编程入门   说道:
    电商网站忙的是进货出货,对于网络安全方面关心不够,因为它不能让他们看到直接利益。
    支持(12反对(11回复
  1. 26
    满正官方微博   说道:
    没有放在心上!
    支持(11反对(11回复
  1. 27
    排骨的呐喊   说道:
    要么就禁止已泄露的同名用户登录,核实个人信息后再行开通。要么就暂时冻结该用户购物结付权限。这样不管不问实在欠妥
    支持(13反对(13回复
  1. 28
    逆水行辕   说道:
    他们说,赚钱才是第一位的。
    支持(12反对(12回复
  1. 29
    李_维盛   说道:
    用户有个屁损失啊! 损失的是京东吧!
    支持(13反对(13回复
  1. 30
    JDoc   说道:
    你也可以说,用户自己都不在意自己的信息。
    支持(10反对(10回复
  1. 31
    catbus   说道:
    难道帮用户改密码吗
    支持(10反对(10回复
  1. 32
    龙旋风神   说道:
    扫描下自己的同名密码?!国内乌鸦一般黑啊!
    支持(13反对(13回复
  1. 33
    _远行者   说道:
    确实是技术不行。。据听说京东要重组技术团队。。
    支持(14反对(14回复
  1. 34
    火火被人占了   说道:
    还好我昨天给改了
    支持(12反对(12回复
  1. 35
    ssmka   说道:
    不知道说什么....
    支持(10反对(10回复
  1. 36
    李晨浩lch   说道:
    京东不是一个对技术要求很高的公司
    支持(14反对(15回复
  1. 37
    Fantastic_Tony   说道:
    可以扫描用户密码?自己黑自己用户?喷的太无脑了吧?如果是匹配一下用户名,然后做限制是可以的。
    支持(14反对(15回复
  1. 38
    O狂且O   说道:
    把用户的钱放在第一位!
    支持(12反对(13回复
  1. 39
    冰是卖萌的咩   说道:
    我觉得无所谓,当然不值得嘉奖,但绝对谈不上有错,真的怕被盗怎么不去查一下自己CSDN的帐号密码。。。用户自己不care怪谁
    支持(16反对(17回复
  1. 40
    ttylikl   说道:
    其实个人习惯还是蛮重要的,比如跟电商相关的密码,从来不在其他网站使用,比如从来不要在电商存钱。。。等等。
    支持(11反对(12回复
  1. 41
    itez   说道:
    如果京东真那么做了才叫有问题吧?
    支持(11反对(12回复
  1. 42
    福气鱼   说道:
    中国公司还不都这样!
    支持(10反对(11回复
  1. 43
    gouyn12   说道:
    现在的中国电商,并不注重安全的,甚至支付宝都出这样的事,只希望军网别出这样的事情就行了,这是最低标准了的。
    支持(13反对(14回复
  1. 44
    漃模櫊   说道:
    京东账户里也存钱?
    支持(9反对(11回复
  1. 45
    银河黑洞   说道:
    以前叫小刘的时候,是为人民服务。现在叫刘董的时候,是为人民币服务。
    支持(15反对(18回复
  1. 46
    colaghost   说道:
    京东丫的送货人员态度差到死,很讨厌在它上面买东西
    支持(12反对(15回复
  1. 47
    火星大胖   说道:
    自从上次京东上演实时提价的鬼把戏以后,再没在他家买过一毛钱东西
    支持(10反对(14回复
  1. 48
    Alex-快乐   说道:
    管理出问题了!
    支持(11反对(15回复
  1. 49
    深圳劳动纠纷律师   说道:
    我是受害者,无语啊
    支持(13反对(17回复
  1. 50
    Overmind   说道:
    京东的账户不存钱。实际上,好像几个网购站都有提醒过用户改密码的,用户自己不改怪得谁来
    支持(4反对(8回复
  1. 51
    small__small   说道:
    哎,利益第一的社会,谁还管谁,钱是第一位的。。
    支持(8反对(13回复
  1. 52
    最后的土拨鼠   说道:
    真正危险的,是淘宝的支付宝吧
    支持(8反对(13回复
  1. 53
    小涂同学_   说道:
    有道理…话说我的密码世界通行…
    支持(7反对(15回复
  1. 54
    silverfox-Yu   说道:
    这话说得好啊“归根到底,最终原因还是没有把用户的利益放在第一位”,我的卓越帐号就收到了这个邮件
    支持(12反对(20回复
  1. 55
    weey   说道:
    只能说这部分人安全意识很低啊,购物网站的密码都敢这么简单。。。要提醒用户密码有问题,不只是京东要做吧。。。
    支持(8反对(18回复
  1. 56
    松亮博客   说道:
    看见博客变化很大,支持
    支持(8反对(18回复
  1. 57
    曾经以为世界很美   说道:
    这个怪京东有点牵强吧。
    支持(14反对(25回复

发表留言