如何辨别密码安全糟糕的网站

(2011-12-28 13:05:00)
标签:

it

密码

安全

网站

网银

支付

分类: 论述题
话说网络是一个很不安全的地方……什么?你才知道啊!地球很危险,你还是赶紧回火星吧!

如果你还是下定决心呆在地球,同时又希望知道知道如何鉴别那些网站在密码保管问题上很儿戏,不具备专业知识,又或者具有潜在的盗取你的密码的嫌疑,那么请用下面的检查表来看看吧。如果最后总分在:
  • 12分及以上,最好不要在碰这样的站点,或者就算你经受不住诱惑非要使用,请永远不要在这样的网站上输入和你用在银行等地方相同的密码
  • 6分及以上,此地很危险,建议 不要在这样的网站上输入和你用在银行等地方相同的密码,并向该站点的客服提出抗议;
  • 3分及以上,此地有潜在的危险,一不小心不是泄露你的个人敏感信息,而这些敏感信息要么 可能会使得黑客窃取你账户的控制权变得更容易,要么可能会使得黑客或者别有用心的内部员工据此进行诈骗;
  • 2分及以上,需要注意些,这样的网站有可能具有严重漏洞,也可能没有,不好说。同时,有可能在该网站的账号或者个人隐私信息已经被盗的情况下,你还一无所知。
我相信你可以很轻易地发现有不少网站的分数在24分甚至48分以上,在交通安全上来说是终身禁驾的状况,对于食品安全来说,那就是恭喜你,你终于知道大多数餐馆都用地沟油了。

请注意:这个检查表只能检查出显然存在问题的地方。即便不存在这个列表里面的问题,也不能证明这个网站就是安全的,更不能证明这个网站没有用明文保存密码!

以下问题,每一个回答“是”的问题得12分
  • 该网站的找回密码功能,真的可以将你的原有密码通过电子邮件发送给你;
  • 该网站的找回密码功能,不是通过电子邮件提供重置方式,而是根据安全提示问题回答出正确答案,即可立即修改密码,或者显示新的密码;
  • 该网站在注册过程中,向你询问各种社交工具如MSN、QQ、电子邮箱的密码,生成是可以邀请你的朋友;
  • 该网站对密码可输入字符类型限制为“英文(大小写)和数字”,或者“英文(大小写)”,或者“数字”,同时没有其他附加验证手段如U-Key、证书或者登录时必须输入发送到手机上的验证码等;
  • 该网站对密码可输入字符数量限制为10个以内 ,同时没有其他附加验证手段如U-Key、证书或者登录时必须输入发送到手机上的验证码等;
  • 该网站在输入密码的时候是明文显示的;
  • 输入一个错误的密码,也能登录;(典型骗取你账号密码的钓鱼网站!)
  • 输入一个不存在的账号,也能登录; (典型骗取你账号密码的钓鱼网站!)
  • 在除了你之外的任何情况下,能够看到你的密码安全提示问题,甚至是答案;
  • 当你电话寻求该网站客服帮助的时候,会向你询问你的密码是什么;
  • 当你电话寻求该网沾客服帮助的时候,会向你询问一些其他敏感信息例如您的银行账号、密码,亲人的姓名和联系方式等,除非该公司是类似银行等极具可信度的(即便如此,也需要非常谨慎考虑);
  • 客服发送给你的问题处理结论中,所包含的处理过程信息或者其它地方,有你的账号明文密码信息;
  • 该网站曾经出现过极大的安全事件,例如密码被爆库,并且没有公开说明其安全处理方式;
  • 该网站曾经被警告过出现安全漏洞,但一直没有公开回应并修补;
  • 该网站的高层曾经发表过不谨慎的安全言论,例如“我们的站点绝对安全”之类;
  • 该网站的高层曾经发表过不专业的安全言论,例如“我们网站的密码加密算法是自己开发的,不会存在问题”之类;
以下问题,每一个回答“是”的问题得6分:
  • 在该网站注册之后,会通过发送电子邮件告知,或者在屏幕上显示密码明文是什么,比如123456;
  • 在该网站注册之后,会发送电子邮件告诉你安全提示问题和答案是什么,比如“我家的猫叫什么名字?答案:傻缺”;
  • 在该网站使用找回密码功能,或者修改了密码之后,会通过发送电子邮件告知,或者在屏幕上显示密码明文是什么,比如123456;
  • 在该网站使用找回密码功能,或者修改了安全提示问题之后,会发送电子邮件告诉你安全提示问题和答案是什么,比如“我家的猫叫什么名字?答案:傻缺”;
  • 该网站曾经出现过极大的安全事件,例如密码被爆库,其随后的漏洞处理方法被具备基本安全知识的专业人士所质疑;
  • 该网站曾经被警告过出现安全漏洞,其公开回应声称不存在这样的问题,或者其修补漏洞的方法 被具备基本安全知识的专业人士所质疑;
  • 关键的安全操作,例如修改密码,修改安全提示问题及答案,以及确认支付等,没有除了必须已登录之外的其他安全验证过程,例如再输入一遍密码,或者发送一条包含验证码的信息到你的手机,必须输入正确才能继续进行等;
  • 故意多次输入错误的密码,既不会锁定帐户一段时间不让登录,也不会出现验证码输入框;
  • 你可以收到一些包含有链接的邮件,点击这些链接会弹出浏览器,并且在没有任何输入,或者使用U-Key、证书的情况下,以你的身份登录站点;
以下问题,每一个回答“是”的问题得3分:
  • 匿名用户可以得知你的找回密码邮箱地址是多少,比如说,联系邮箱实际上就是找回密码邮箱,该网站有隐私选项可以选择“匿名用户/会员/你的好友/你的私密好友/或者没有任何人”可以查看您的联系邮箱,这个问题的答案仍然应该回答“是”;
  • 找回密码的方法不是让你重新输入一个新的密码,而是自动生成一个新密码在屏幕上显示给你;
  • 你在该网站填写过非常敏感的个人信息,例如身份证号码、护照号码、电话号码,除非这是一个具有可信度的企业所属网站,例如银行、该行业内前10的网站,并且这是业务所必需的,例如银行需要身份证号码证明你的身份,或者电子商务、快递公司需要你的联系方式以便货物顺利送达;
  • 关键的安全操作,例如修改密码,修改安全提示问题及答案,以及确认支付等,除了必须已登录之外的其他安全验证过程,例如再输入一遍密码,或者发送一条包含验证码的信息到你的手机,必须输入正确才能继续进行等;但是可以让用户选择是否跳过这样的步骤,例如存在其他网银支付方式,既不需要U-Key,也不需要短信验证等;
  • 你注册的时候,或者修改密码的时候,该站点不会验证你密码的强度是否足够强
  • 登录或者关键操作的时候,网址开头不是https://,而是http://;
  • 登录或者关键操作的时候,尽管网址开头是https://,但浏览器提示警告,如“证书无效”,或者“该页面存在不安全内容”等;
以下问题,每一个回答“是”的问题得2分:
  • 出现验证码的地方可以看见这个验证码只是一个简单的英文数字,字体正规没有扭曲(哪怕背景有噪点);
  • 该站点无法提供你的登录日志,或者登录日志不能提供登录时间和IP
  • 故意的多次输入错误密码之后,你的找回密码邮箱没有受到任何风险提示邮件;
以下问题,每一个回答“是”的问题得1分:
  • ……无关痛痒的我懒得想

如果你要考察的站点可以操作你的财产,那么还必须附加检测下面的表。

以下问题,每一个回答“是”的问题得12分:
  • 登录时没有任何附加验证手段的选择,例如U-Key,密码表,证书,输入发送到你手机上的验证码,打电话到你填写的固定电话号码与你核实身份(用图片在网页显示的验证码及其验证码输入框不在此列);如果有这样的登录选项,但也有可跳过该步骤的选项,此问题答案为“否”
  • 该公司给你发一个n乘n的密码表,例如登录时要输入P列第3行的密码,并且此密码表的每一个单元中的密码可以使用超过1次;
  • 多次错误输入密码不会锁住你的账户一段时间(最好先咨询,确认有你就可以相信这个答案为“否”了。如果无法找到咨询方式,你最好尝试一下);
  • 从登录开始(包含),之后的所有操作都不是在https://开头的网址下面进行的,也不是一个自有的桌面应用客户端;
  • 在你第一次申请账号的时候,该公司会为你的资金操作账号生成一个初始密码(而不是让你输入一个),同时在没有任何身份验证并激活的措施下(例如要求输入您的身份证号码,以及电话号码等),就可以使用该密码进行任何资金相关的操作;
  • 被浏览器警告证书无效;
  • 输入密码的地方你可以通过粘贴的方式将密码粘贴进去;
  • 输入密码的地方你可以按左右键来改变光标当前位置,并删改中间的某些字符,最后还能成功登录;
  • 当天累计发生金额为1000元的操作时,没有任何的邮件或短信通知;
  • 最近6个月内存在可以成功钓鱼的案例;(说明该企业确实存在让用户感觉很自然的,但很不安全的登录方式,并且只需要这些基本的登录信息如密码,就可以进行资金上的操作)
以下问题,每一个回答“是”的问题得6分:
  • 登录时有任意附加验证手段,但是也可以选择绕过去,并且在绕过去的登录方式下,无法限制其可以操作的范围;
  • 你无法选择禁止不带附加验证手段的登录(如果可以这么登录的话);
  • 如果使用浏览器,从登录开始(包含),之后的任意操作曾经出现过“该页面包含不安全内容”之类的提示;
  • 你无法限制是否允许网上交易、转账、汇款等操作,或者可以设置是否允许,但没有办法设置限额;
  • 你使用的是“文件证书”,超过1年以上但却从来没有被要求更新过;
  • 你使用的是“密码表”,但该密码表没有过期的时候;
以下问题,每一个回答“是”的问题得3分:
  • 该站点无法提供“证书”或者比这更安全的登录方式(例如U-Key,电话核实身份),而只能提供一些诸如“密码表”的登录方式;
  • 该企业在3年内曾经爆发过成功钓鱼案例(例如资金被骗走、盗取、转账、汇款等);(一个出过安全问题的企业,很可能原来就不重视安全问题,并且存在大量安全问题,并且随后会真的很重视的几率也会比那些打一开始就注意的企业要低)
  • 在给你的账单/电子账单中,会出现你的完整隐私信息,如姓名、身份证号码、邮箱地址、电话号码、账号、账户名、交易方账号等,而没有任何的删节(例如用*代表其中一部分),也没有任何需要密码才能解开查看的措施;
  • 再给你的账单/电子账单中,每次都会提示您的某种操作的初始密码,包括但不限于“资金操作密码”、“查询操作密码”以及“解密电子账单所需要的密码”等;
先大概这么多吧,欢迎切磋指正和补充。
::...
免责声明:
当前网页内容, 由 大妈 ZoomQuiet 使用工具: ScrapBook :: Firefox Extension 人工从互联网中收集并分享;
内容版权归原作者所有;
本人对内容的有效性/合法性不承担任何强制性责任.
若有不妥, 欢迎评注提醒:

或是邮件反馈可也:
askdama[AT]googlegroups.com


订阅 substack 体验古早写作:


点击注册~> 获得 100$ 体验券: DigitalOcean Referral Badge

关注公众号, 持续获得相关各种嗯哼:
zoomquiet


自怼圈/年度番新

DU22.4
关于 ~ DebugUself with DAMA ;-)
粤ICP备18025058号-1
公安备案号: 44049002000656 ...::