网站口令处理机制安全性测评报告
2012年5月中国软件评测中心北京大学互联网安全技术北京市重点实验室 ,目录前言 .............................................
2012年5月
中国软件评测中心北京大学互联网安全技
术北京市重点实验室
,目录
前言 ................................................................................................................................. 4 测评范围与样本 ............................................................................................................. 6
样本选择与获取 ................................................................................................................................................. 6 测评范围与测评样本 ......................................................................................................................................... 6
测评指标 ......................................................................................................................... 7
指标设计 ............................................................................................................................................................. 7 口令的传输形态及对应安全性分析 ............................................................................................................. 8 用户名的传输形态及安全性分析 ................................................................................................................. 9 传输信道及对应安全性 ................................................................................................................................. 9 请求提交方法 ............................................................................................................................................... 10 口令处理模式分类及安全性标定 ................................................................................................................... 10
测评流程和方法 ........................................................................................................... 13
测评目的 ........................................................................................................................................................... 13 测评原则 ........................................................................................................................................................... 13 测评组织 ........................................................................................................................................................... 14 测评方法 ........................................................................................................................................................... 14 测评流程 ........................................................................................................................................................... 14 调研阶段 ....................................................................................................................................................... 14 分类收集样本 ............................................................................................................................................... 15 实施测评 ....................................................................................................................................................... 15 分析测评结果 ............................................................................................................................................... 15
测评结果与分析 ........................................................................................................... 16
网站用户口令处理整体情况 ........................................................................................................................... 16 各类型网站用户口令处理情况 ....................................................................................................................... 19 门户类网站用户口令处理情况 ................................................................................................................... 19 邮箱类网站用户口令处理情况 ................................................................................................................... 20 微博类网站用户口令处理情况 ................................................................................................................... 21 博客类网站用户口令处理情况 ................................................................................................................... 22 电子商务类网站用户口令处理情况 ........................................................................................................... 22 招聘类网站用户口令处理情况 ................................................................................................................... 23 婚恋类网站用户口令处理情况 ................................................................................................................... 24
,游戏类网站用户口令处理情况 ................................................................................................................... 25 论坛类网站用户口令处理情况 ................................................................................................................... 26
主要结论及建议 ........................................................................................................... 28 附件一
附件二 中国软件评测中心智能移动终端测试实验室介绍 . ................................. 30 北京大学互联网安全技术北京市重点实验室介绍 . ................................. 31
,前言
随着互联网的发展,以电子商务、娱乐、购物、社交等为基础的各类公共网站已经融入到人们生活的各个方面。2012年1月,中国互联网络信息中心(CNNIC )发布《第29次中国互联网络发展情况统计报告》,《报告》显示,截至2011年底,中国网民规模达5.13亿,网站域名达到775万。
一方面,各种各样的网站给人们带来便利与精彩的生活;另一方面,网站存储着大量和用户个人信息相关的应用数据,一旦数据泄漏,就会使用户遭受经济、名誉等方面的损失。“用户名 口令”是网站普遍采用的一种认证方式,它是网站允许用户进行个人信息访问、操作的一道重要关卡。保证用户口令的机密性是网站进行用户个人信息隐私保护的重要一方面。
然而,2011年底的CSDN “泄密门”等事件使得大量用户口令以明文形式被泄露,暴露出一些大型网站的开发/运营者在用户口令处理方面安全意识薄弱。并且,部分互联网用户在不同网站注册帐号时习惯采用相同的用户名和口令,因此一旦用户在某网站的口令被泄漏,他在其它网站上的数据也会遭到一定程度的“连带式泄漏”:黑客可以利用该口令尝试登录其它网站,一旦登录成功,便可以以受害用户的身份在网站进行信息读取和操作,黑客甚至可以直接用这些口令成功登录用户的网上银行。因此,保证用户口令的机密性,不单单需要一些大型网站增强用户口令处理的安全意识,而是需要所有互联网公共网站对用户口令安全地进行处理。 网站对用户口令的处理包括三个阶段,即用户在页面上输入口令后:1)客户端的页面控件、页面脚本对口令的处理;2)传输信道对口令的传输;3)服务器端对口令的存储/认证。 为了督促网站保护个人信息,提高整体实力,规范互联网公共网站对用户口令的处理,中国软件评测中心联合北京大学互联网安全技术北京市重点实验室,本着公开、公平、公正的原则,抽取了电子商务、招聘类、婚恋类、游戏类、论坛、博客等9大类共计100个网站,本着不影响网站正常运行的原则,本次测评不涉及服务器端用户口令存储方式,而是采用基于客户端分析的外部测评方式,对客户端处理口令、通信信道传输口令这两个阶段的安全性进行测评,按照本次设定的测评标准,将网站的安全性归类为原始口令明文传输、原始口令编码传输、原始口令加密传输、口令散列值明文传输、口令散列值密文传输等不同安全级别。
本次测评客观地反映了互联网公共网站对于用户口令处理的现状和问题,以期引起网民用户、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视,希望能够通过各方面努力,加强个人信息保护,营造一个健康有序的互联网环境。
由于时间原因,本次评测工作难免有疏漏之处,敬请业界专家能多提宝贵意见,以便我们在日后的测评工作中改进与完善,更好地服务于中国互联网产业。
, ,测评范围与样本
样本选择与获取
本次测评是针对网站用户口令处理进行的测评,旨在通过对抽样网站进行测评来了解互联网公共网站对于用户口令处理的现状和问题,以期引起网民用户、网站开发者、网站运营者、政府主管部门等对于用户口令处理安全性的重视,希望能够通过各方面努力,加强个人信息保护,营造一个健康有序的互联网环境。
通过综合分析网民的互联网使用习惯得知,门户类、电子商务、招聘、婚恋、游戏、论坛博客等是网民日常访问的主要网站类型,并且这些网站普遍涉及用户个人信息的收集,且涉及的个人信息范围较大,真实信息较多。若用户在这些网站上的口令被泄露,将会对用户的个人生活产生较大影响。本次测评选择9类共计100个网站作为抽测样本。抽取的网站部分参照中国软件评测中心《2012年网站个人信息保护政策测评报告》中的抽样网站。
本次测评将网站服务器端当作黑盒,全部数据来自于在浏览器内部侦听页面与服务器端的交互过程以及手工分析页面控件及相关客户端脚本对口令的处理。
测评范围与测评样本
本次测评涉及的网站包括电子商务、招聘类、婚恋类、游戏类、论坛、博客类等9种类型, 共计100个网站,如表1-1所示:
测评指标
指标设计
网站对用户口令的处理包括三个阶段,即用户在页面上输入口令后:1)客户端的页面控件、页面脚本对口令的处理;2)传输信道对口令的传输;3)服务器端对口令的存储/认证。 客户端、传输、服务器端均存在敌手,本次测评主要关注网站对用户口令的处理,不考虑客户端可能存在的keylogger 等敌手,各个阶段的处理方式及其安全弱点见表2-1、表2-2、表2-3。 客户端处理方式
直接将口令明文提交 安全弱点(或敌手模型) 黑客嗅探到通讯包后,直接提取出口令明文;
服务器端直接得到用户口令;
服务器端木马、企业间谍直接获取口令明文;
将口令编码后提交请求 黑客嗅探到通讯包后,尝试解编码;
服务器端解编码后,得到用户口令,被服务器端木马、
企业间谍截获;
服务器端木马、企业间谍截获口令编码,尝试解编码;
将口令加密后提交请求 黑客嗅探到通讯包后,尝试解密口令密文;
服务器端解密后,得到用户口令,被服务器端木马、
企业间谍截获;
服务器端木马、企业间谍截获口令密文,尝试解密口
令密文;
提交口令散列值 黑客嗅探到通讯包后,尝试使用彩虹表查找出原文;
服务器端木马、企业间谍截获口令hash ,尝试使用彩
虹表查找出原文;
表2-1 客户端对口令的处理方式及安全弱点
,
本着不影响网站正常运行的原则,本次测评不涉及服务器端用户口令存储方式,而是采用基于客户端分析的外部测评方式,将网站服务器端当作黑盒,全部数据来自于在浏览器内部侦听页面与服务器端的交互过程以及手工分析页面控件及相关客户端脚本对口令的处理,对客户端口令处理、通信信道口令传输这两个阶段的安全性进行测评,来评测网站对于网络嗅探、企业间谍、服务器端木马等敌手的脆弱性,具体涉及以下几个方面:
口令的传输形态及对应安全性分析
用户在页面中输入口令后,经过客户端页面中脚本逻辑的处理,口令的形态可以是原文/编码/密文/hash。
原文
原文是一种直接可见的形态。
黑客通过网络嗅探截获通讯包后,可以直接获得请求中的口令原文;服务器端可以直接得到用户的口令原文;企业间谍、服务器端木马可以通过劫持服务器端程序,可以直接获得用户
,的口令原文。
● 编码
编码是一种字符替换、字符串压缩处理后的形态,典型的如base64编码等。
编码属于一种可逆操作。黑客可以通过对客户端页面中脚本逻辑的分析,来知道用户口令做了什么样的编码处理,从而对网络嗅探截获到的编码后口令进行解编码;服务器端木马、企业间谍截获口令编码后,通过解编码得到口令原文;服务器端解编码后,得到口令原文,被服务器端木马、企业间谍截获。
● 密文
密文是一种可逆的形态,根据解密密钥和加密密钥是否一样具体分为对称加密和非对称加密。
黑客可以尝试对嗅探到的通讯包中的口令密文进行破解;服务器端木马、企业间谍截获口令密文后,尝试破解得到口令原文;服务器端用解密密钥解密,得到口令原文,被服务器端木马、企业间谍截获。
● Hash
hash 函数具有单向性,是一种相对安全的方式。
黑客嗅探到通讯包并得到口令hash 后,尝试使用彩虹表查找出原文。
服务器端木马、企业间谍截获口令hash ,尝试使用彩虹表查找出原文。
用户名的传输形态及安全性分析
用户名作为用户的身份标识,也是一种用户隐私数据,加之现在的网站都普遍使用邮箱作为用户名,一旦用户名(邮箱)泄露,黑客可以向这些邮箱发送垃圾邮件,影响人们的正常生活。因此,用户名也应该以一种相对机密的形态传输,用户名的各种形态及其安全性与“口令的传输形态及对应安全性”相似。
传输信道及对应安全性
口令的传输信道分为常规信道和加密信道。
黑客可通过网络嗅探器直接嗅探到常规信道中的通讯包。因此,常规信道安全性比较弱。http 属于常规信道传输。
加密信道将服务器端和客户端建立了一个加密通道,保证了通信的机密性,能对抗网络嗅探器直接嗅探到通信包。加密信道的安全性相对较强,黑客需要尝试解密来获取通讯包。https
,属于加密信道传输。加密信道仅仅对抗黑客在传输过程对通讯包的嗅探,服务器端企业间谍、服务器端木马仍可以得到通过加密信道传输过来的原文/编码/密文/hash等形态的口令。 请求提交方法
客户端与网站服务器通过https/http协议与服务器交互式,常用的方法是post 和get 。 用户在网站进行注册/登录,一般是基于表单发送请求,post 是一种相对规范的请求提交方法。
口令处理模式分类及安全性标定
本次测评主要分析口令的传输形态、用户名的传输形态、传输信道以及认证请求提交方法,并根据网站在传输形态和传输信道的具体处理模式,依照其中所采用的不同的技术手段,对网站用户口令处理模式进行分类及安全性标定,如表2-4: