當時(shí)我就震驚了 | “123456”就可登錄教育部，1.9億學(xué)生

　　9月29日，教育部官網(wǎng)通過(guò)媒體再次向公眾保證了IME沒(méi)有任何信息泄漏。這是繼5月30日在教育部官網(wǎng)專(zhuān)門(mén)就“教育技術(shù)服務(wù)平臺”APP公開(kāi)發(fā)布關(guān)于“全國教育技術(shù)服務(wù)平臺”有關(guān)問(wèn)題答復后，又一次強調了學(xué)生信息的安全性。

　　據教育部在9月29日向媒體披露的數字，全國中小學(xué)生學(xué)籍信息管理系統目前已完成1.9億學(xué)生信息入庫，并且該數字會(huì )一直增加，最終覆蓋全國28萬(wàn)多所學(xué)校，所有的信息都要通過(guò)“教育技術(shù)服務(wù)平臺”(簡(jiǎn)稱(chēng)“IME")的應用進(jìn)行上傳。

　　“不經(jīng)意”的嘗試，小白如何獲取"IME"的管理員賬號?

　　我本想親身體驗一下這款超級應用，卻發(fā)現需要使用學(xué)生的注冊碼才能注冊使用。

　　由于無(wú)法登錄進(jìn)行體驗，于是我希望通過(guò)搜索引擎尋找其他詳細信息，卻無(wú)意中在某處發(fā)現一份介紹“IME”使用方法的文檔中有一張這樣的圖片(注：原圖不帶馬賽克)

　　圖片中暴露了使用者的帳號和密碼位數為六位數，于是我猜測這個(gè)密碼可能是很常見(jiàn)的弱密碼123456，結果在嘗試之后居然成功登錄：

　　并且我發(fā)現這款軟件并沒(méi)有設置驗證碼和任何限制重復登錄的措施，于是使用123456作為密碼嘗試其他相近的帳號，看看有沒(méi)有更多的人使用123456作為密碼。結果在嘗試短短幾分鐘的手動(dòng)輸入后，居然成功登錄了3個(gè)帳號，均為管理員。

　　隨后，我已向相關(guān)部門(mén)反饋了弱口令問(wèn)題的情況，但同時(shí)也引發(fā)了相關(guān)的思考：

　　一方面，IME的用戶(hù)自身安全意識不強，使用簡(jiǎn)單密碼導致帳號可能被盜;

　　另一方面也暴露了該應用在信息安全方面的不完善。

　　按照上面的操作，即使是一個(gè)不懂任何黑客技術(shù)的小白，也可能可以通過(guò)單純嘗試就成功登錄管理人員的帳號。如果是黑客通過(guò)撞庫、社工或是暴力破解等手段進(jìn)行大規模嘗試，后果可想而知，一旦引發(fā)大規模的信息泄漏事件，責任由誰(shuí)來(lái)?yè)?

　　用戶(hù)因弱口令問(wèn)題泄漏信息，誰(shuí)負責?

　　弱口令，也就是簡(jiǎn)單密碼，如今已經(jīng)成為了網(wǎng)絡(luò )安全問(wèn)題中最常見(jiàn)、危害最大、也是最容易被黑客利用的問(wèn)題。在網(wǎng)絡(luò )安全防范意識普遍較弱的今天，為圖方便而使用簡(jiǎn)單密碼的做法很常見(jiàn)。

　　2011年發(fā)生的CSDN密碼明文泄漏事件中的統計數據顯示，純數字密碼超過(guò)2890000個(gè)，純小寫(xiě)字母密碼超過(guò)740000個(gè)，123456789做密碼的超過(guò)230000。若不是親身試驗用123456登錄成功，原本我也并不太相信這些數據的真實(shí)性。

　　關(guān)于弱口令知識，可參考此前雷鋒網(wǎng)的科普文：密碼123456，意味著(zhù)什么?

　　IME平臺賬號分為超級管理員、學(xué)籍系統管理員、學(xué)籍系統普通用戶(hù)三種類(lèi)型。如果是因為管理員使用弱口令(前文中的幾個(gè)賬號均系管理員)而導致對應的學(xué)生及家長(cháng)信息泄漏，該由誰(shuí)來(lái)負責呢?而一旦出現稍具規模的學(xué)生信息因泄漏而開(kāi)始在網(wǎng)絡(luò )黑市流通，誰(shuí)又能區分究竟是“IME"的運營(yíng)公司“天天艾米”將學(xué)生信息用于商業(yè)用途，還是因為管理員的個(gè)人原因或黑客攻擊而導致的泄漏呢?恐怕到時(shí)候輿論又將“IME”的管理者推向風(fēng)口浪尖。

　　如何保護密碼安全?

　　關(guān)于類(lèi)似該平臺出現的問(wèn)題，此前我和前DNSPod創(chuàng )始人、網(wǎng)絡(luò )安全專(zhuān)家吳洪聲私底下聊過(guò)。他也提出了幾點(diǎn)看法：

　　”首先，如果不對登錄次數進(jìn)行限制，就存在暴力破解的可能性(盡管“IME”要求在登陸十多次之后會(huì )要求輸入驗證碼，然而......你懂的);

　　其次，在申請賬號時(shí)應當限制用戶(hù)密碼長(cháng)度和復雜性，因為現在網(wǎng)民的安全意識普遍不高，所以如果應用不主動(dòng)限制的話(huà)，很多用戶(hù)圖方便好記就使用簡(jiǎn)單密碼，留下隱患;

　　另外，你可以使用自己的設備登錄他人賬號，也說(shuō)明該應用沒(méi)有異地登陸保護、設備保護等風(fēng)控措施。"

　　關(guān)于解決方案，其實(shí)，對密碼復雜度進(jìn)行限制、登陸入口設置驗證碼、設置異地登陸、設備保護等方式都可以提高賬號的安全性。生物識別技術(shù)近年來(lái)發(fā)展迅速，嘗試使用人臉、聲音、指紋識別來(lái)代替密碼登錄，也可以很好的解決該問(wèn)題，用生物特征替代密碼是今后的趨勢。而吳洪聲本人現在自己創(chuàng )業(yè)，推出用生物特征識別替代密碼的身份驗證產(chǎn)品——"洋蔥令牌“，也是基于這方面的考慮。

　　隨著(zhù)生物識別技術(shù)的普及，越來(lái)越多的身份驗證場(chǎng)景開(kāi)始使用生物識別，比如微信、手機百度中都已加入“聲音鎖”功能。作為一個(gè)擁有海量用戶(hù)和學(xué)生、家長(cháng)隱秘信息的超級應用IME，在賬號安全性方面還有待提高。

　　另一方面，用戶(hù)密碼使用習慣也直接決定了安全性，提高用戶(hù)防范意識方面，可以在推廣“IME”的同時(shí)加強對老師、家長(cháng)及學(xué)生關(guān)于網(wǎng)絡(luò )安全知識的普及，起碼在要求用戶(hù)安裝使用"IME"時(shí)，提醒其注意相關(guān)網(wǎng)絡(luò )安全。

　　2014年，英國政府就曾發(fā)起Year of Code活動(dòng)，鼓勵區域內每一所學(xué)校至少教小學(xué)生們1小時(shí)基礎編程知識的活動(dòng)。美國總統奧巴馬在今年年初也曾呼吁“每個(gè)美國人都應學(xué)習編程”。

　　置疑之后，更應理性對待

　　不知為何，但凡政府部門(mén)出的應用，質(zhì)疑聲從來(lái)都少不了，鐵道部的12306如此，教育部的IME也是如此，我想即使“IME”真的集成“洋蔥令牌”這類(lèi)用人臉、聲音、指紋等生物信息替代密碼以解決弱口令問(wèn)題的產(chǎn)品功能，恐怕又會(huì )有人質(zhì)疑其“企圖收集用戶(hù)生物信息用于商業(yè)用途”。質(zhì)疑總會(huì )有，但不應該阻止創(chuàng )新和進(jìn)步。

　　無(wú)論存在多少輿論和質(zhì)疑，IME的出現不是偶然，而是我國互聯(lián)網(wǎng)和教育信息化發(fā)展到一定階段的結果。因為無(wú)論公眾存在多少質(zhì)疑，這樣一個(gè)平臺和應用的出現確實(shí)能為教育從業(yè)者、家長(cháng)和學(xué)生提供更好的服務(wù)，也確實(shí)對我國教育信息化的進(jìn)程起到很大的推進(jìn)作用。