Board logo

标题: 直报系统密码强制更改是与非的断想! [打印本页]

作者: jeffrey    时间: 2005-7-11 01:43     标题: 直报系统密码强制更改是与非的断想!

1aiJbr7q.txt (3.16 KB)

请大家看了附件,再回帖!

近来,直报系统公告栏关于更改密码反对的多,支持的少。对大家感到麻烦,深表理解!

想说一个例子:目前,咱们会员中网上银行用户可能不多吧?假如你要开户,保密问题如何解决?用一个永远不变的密码可以吗?肯定不行!其实,你要成为网上银行客户,好,一番繁琐的手续并签署协议必不可少,银行界目前都是用一些非常复杂的算法(实在太专业,恕不详说),生成位数多且结构非常复杂的密码(英文大小写与数字无规律组合),多半会与你的手机绑定,而且申明以你的身份(卡号+密码+随机验证码)登陆进行的一切操作视为你本人主动行为,一旦发现密码丢失,你要在最快时间通知银行……每次交易时,还要进行复杂的网上身份认证。即使如此复杂,过去和最近媒体上均仍披露西方国家信用卡密码被盗事件。

咱们的网络直报系统有什么两样呢?一个网络系统的安全,中心节点的安全固然重要,但最主要的是保证各个终末节点的安全(网络边际安全)。直报系统如此庞大(数万用户),安全方面隐患很大,1个月更换1次密码,我看完全是只好基于对所有用户的信任,而且是不可靠的信任。且看:

几种身份认证技术特点的比较
认证技术 特点 应用 主要产品
用户名/密码方式 简单易行 保护非关键性的系统,不能保护敏感信息 嵌入在各种应用软件中
IC卡认证 简单易行 很容易被内存扫描或网络监听等黑客技术窃取 IC加密卡等
动态口令 一次一密,较高安全性 使用烦琐,有可能造成新的安全漏洞 动态令牌等
生物特征认证 安全性最高 技术不成熟,准确性和稳定性有待提高 指纹认证系统等
USB Key认证 安全可靠,成本低廉 依赖硬件的安全性 iKey 2000、ePass 1000等

目前,疾病预防控制对网络直报系统的依赖与日俱增,一旦系统瘫痪,修复前全国疾控人都是瞎子、聋子。退一步说,就是采用USB Key认证技术,有了绝对复杂的密钥,一样需要您不断更改登陆口令啊!即使将来能够使用采用PKI身份认证,也不是就万无一失了。

身份认证只是信息系统安全的基础,不是系统安全的全部。作为21世纪的疾控人,都将成为网络人,连1月换1次密码都嫌麻烦的话,我们的安全意识和知识也太欠缺了。

说得不对的地方,请指出,请别扔砖啊! :)



附件: [直报系统密码强制更改是与非的断想!] 1aiJbr7q.txt (2005-7-11 01:02, 3.16 KB) / 下载次数 219
http://cdcman.cn/attachment.php?aid=365&k=9965978c8c47539a30e48c894aced559&t=1734875608&sid=319010
作者: jeffrey    时间: 2005-7-11 03:37

转贴:《联合早报网》

日本发生多起黑客入侵网上银行盗款事件

2005-07-10 3.00 PM

(综合讯)中新网消息, 日本近日发生多起银行网络交易系统遭黑客入侵,客户存款被盗汇、盗领的事件,引起日本金融界的高度关切,金融厅为了防止受害情形扩大,已开始着手检讨策。

  据台湾媒体报道,日本e-Bank、JAPANNETBANK网络银行,以及瑞穗(MIZUHO)银行近来发现,有客户在不知情的情况下,存款被转帐、盗领,瑞穗银行已发生两件类似案件,遭 到五百万日圆的损失。

  此事件是因为e-Bank的一位客户发现帐户中,出现一笔非由自己经手的转帐纪录,在向银行洽询后,才知道是遭黑客入侵,三家出事银行的客户存款分别被转汇到不同的帐户中。

  日本警视厅高科技犯罪对策中心接到报案后已展开调查,并从被害人的计算机中查到“间谍软件(spyware)”,这种软件可自动记录输入计算机的资料,并透过网络传送给第三者。

  警视厅研判,此案件应该是被害人的计算机感染间谍软件,以致网络交易密码被窃,黑客才能佯装成被害人上网汇款、领款。

  瑞穗银行则表示,黑客手上的客户资料并非由银行方面流出去,应该是客户的计算机感染间谍软件而导致密码遭窃,有很多人则是在网上下载可免费取得音乐的软件时,在不知情的情况下被强制下载了间谍软件。

  日本金融厅对此表示深度关切,除了调查受害银行、歹徒的犯罪手法之外,还要分析检讨,有无其它可以取代密码来确认客户身份的方法,同时也与日本银行协会针对今后银行网络交易来研究防范黑客入侵的对策。


作者: 洋子    时间: 2005-7-12 10:18

一个月左右换一次密码是网上防黑的常规做法,这不需要再进行讨论。
作者: 西北    时间: 2005-7-12 10:28     标题: 随便说说

其实我是支持换密码的,但支持归支持,有几点想说明:

1、对于上述的例子我不认同,因为我们不是商业性网站,也不是公众服务性网站,如果你只是在单位登录,应该危险度会减少很多!

2、现在的密码被盗,主要是由于木马程序的问题,但是如果你在单位上网,而且你的机子只是用于工作,那么,你是怎么感染木马的呢?有些想不通,如果单位用机不登录与工作无关的网站,应该危险度很小吧!

3、国家不是一直提倡隧道登录么?我们地区一直是如此要求的,国家为什么不考虑加强隧道的建设,尽早剔除公网登录方式,那么即使你的密码被盗,我想盗密码的人也不可能上的去吧!

这只是我的一己之见,当然,国家要求更改密码是出于安全考虑,无可厚非,但是网络安全并不是经常修盖密码就可以保证的,需要多方面的努力,在要求我们定期修改密码的同时,国家是否也可以考虑多开隧道,屏弃公网的登录方式呢?


作者: 秦博士    时间: 2005-8-4 08:46

如果电脑中了木马不知道,那修改几次也没用,要是没中那还修改什么??中木马的人大部分自己都不知道.
作者: hdyy    时间: 2005-8-4 10:07

同意楼上的说法。安装一个优秀的防黑防毒软件也是必要的。




欢迎光临 疾控家园 (http://cdcman.cn/) Powered by Discuz! 7.2