为泄私愤,篡改上百名同学中考志愿!弱口令的危害您还不重视起来吗?

作者:安数网络 发布时间:2020-09-07 11:33:47 浏览次数:101

据红星新闻报道,近日,四川某中学的一名中学生吉某某,因为升学无望,为泄私愤,在家用手机登录志愿填报系统,篡改了上百名同学的中考志愿一事,得到社会各界的广泛关注。

西昌警方介绍,今年7月30日,西昌市公安局网络安全保卫大队接到报警,西昌市某校学生发现自己的中考志愿被篡改。学校经过初步排查,发现上百名学生志愿被篡改。志愿填报已经停止,该部分学员将无法被录取升入更高一级学府,这些学生面临无法上学的严重问题。

接到报警后,西昌市公安局网安大队紧急抽调专人侦办,迅速查明有人非法破坏计算机信息系统,存在大量考生填报志愿被篡改的情况。该情况社会影响大、危害程度深,按照“净网”工作要求,网安部门立即进行追查,并对志愿填报系统进行漏洞检查,发现系统存在验证机制漏洞等问题。

经过连夜奋战,快速开展工作,警方锁定了涉嫌篡改考生志愿的终端,查证发现为该校毕业学生吉某某使用。幸好西昌警方及时介入,并将吉某某抓获归案。经查,吉某某升学无望,为泄私愤在家中通过自己手机,复制班主任发在微信群里的2020年度初三毕业生名单,登录凉山州中考志愿填报系统,尝试输入密码“12345678”,进入他人账户篡改志愿。而此系统竟除了密码之外,没有其他的验证方式和门槛,同学们也大多都使用了简单默认的弱口令密码。

当地招办特事特办,延长考生填报志愿时间,同时针对志愿填报系统无安全保护与验证机制漏洞等问题进行了通报,并针对系统开展了专项检查工作。针对志愿填报系统存在的问题,西昌市公安局网安大队按照《中华人民共和国网络安全法》,对涉案单位依法开展行政处罚工作。组织学校逐一通知考生本人修改志愿,最终圆了这些学生的升学梦。目前,嫌疑人吉某某已被刑拘。

对于该事件,不探讨其他方面,单弱口令危害引发的个人信息保护的网络安全问题就非常值得我们重视。

弱口令(weak password),通常认为容易被别人(他们有可能对你很了解)猜测到或被破解工具破解的口令均为弱口令。弱口令指的是仅包含简单数字和字母的口令,例如“123”、“abc”等,因为这样的口令很容易被别人破解,从而使用户的计算机面临风险,因此不推荐用户使用。

大多数人,因为个人习惯和互联网上各平台账号密码设置过多,为了避免忘记,通常都会使用同一个且非常容易记住的密码,或者直接采用系统的默认密码等。相关的安全意识不足,总认为不会有人会猜到或者利用上自己的这个弱口令的。其实不然,在当今很多地方以用户名(账号)和口令作为鉴权的世界,口令的重要性就可想而知了。口令就相当于进入家门的钥匙,当他人有一把可以进入你家的钥匙,想想你的安全、你的财物、你的隐私......害怕了吧。因为弱口令很容易被他人猜到或破解,所以如果你使用弱口令,就像把家门钥匙放在家门口的垫子下面,是非常危险的。

解决弱口令问题相关建议:

1.不使用空口令或系统缺省的口令,因为这些口令众所周知,为典型的弱口令。

2.口令长度不小于8个字符。

3.口令不应该为连续的某个字符(例如:AAAAAAAA)或重复某些字符的组合(例如:tzf.tzf.)。

4.口令应该为以下四类字符的组合,大写字母(A-Z)、小写字母(a-z)、数字(0-9)和特殊字符。每类字符至少包含一个。如果某类字符只包含一个,那么该字符不应为首字符或尾字符。

5.口令中不应包含本人、父母、子女和配偶的姓名和出生日期、纪念日期、登录名、E-mail地址等等与本人有关的信息,以及字典中的单词。

6.口令不应该为用数字或符号代替某些字母的单词。

7.口令应该易记且可以快速输入,防止他人从你身后很容易看到你的输入。

8.至少90天内更换一次口令,防止未被发现的入侵者继续使用该口令。

针对这些弱口令问题,互联网企业也可以做一些技术上的限制,防止批量验证账号。例如统一登录接口,频繁登录错误出发验证码等。


及时掌握网络安全态势 尽在傻蛋网络安全监测系统

【网络安全监管部门】免费试用

本文来源:安数网络

如涉及侵权,请及时与我们联系,我们会在第一时间删除或处理侵权内容。
电话:400-869-9193 负责人:张明