发布时间:2022-1-4 分类: 电商动态
9月29日,教育部官方网站再次通过媒体向公众保证,IME没有透露任何信息。这是继教育部官方网站5月30日后,“教育技术服务平台”公开发布的“国家教育技术服务平台”,并再次强调学生信息安全。
根据教育部9月29日向媒体公布的数据,全国中小学生信息管理系统已完成1.9亿学生信息存储,数量将继续增加,最终覆盖全国28万多所学校,所有信息通过“教育技术服务平台”(简称“IME”)的应用程序上传。
“不经意”的尝试,小白如何获取"IME"的管理员账号?
我想亲自体验这个超级应用程序,但我发现我需要使用学生的注册码进行注册。
由于我无法登录体验,我希望通过搜索引擎找到其他细节,但无意中在“IME”方法中找到了某个文档。 (注:没有镶嵌的原始图片)
图像显示用户的帐号和密码数字是六位数,所以我猜这个密码可能是一个非常常见的弱密码123456,登录后结果是成功的:
我发现该软件没有设置验证码和重复登录的任何限制,因此使用123456作为密码来尝试其他类似帐户,看看是否有更多人使用123456作为密码。因此,在几分钟内尝试手动输入后,我成功登录了3个帐户,所有帐户都是管理员。
随后,我向有关部门反馈了弱密码问题,也引发了相关思考:
一方面,IME用户不了解自己的安全性,使用简单的密码可能会导致帐户被盗;
另一方面,它也揭示了信息安全应用的不完善之处。
根据上述操作,即使您不了解任何黑客技术,您也可以通过简单的尝试成功登录管理员帐户。如果黑客通过图书馆,社会工作者或蛮力攻击进行大规模的尝试,可以想象后果。谁将对大规模的信息泄漏事件负责?
用户因弱口令问题泄漏信息,谁负责?
弱密码是简单的密码,已成为最常见,最有害,最易受黑客攻击的密码。今天,当网络安全意识普遍较弱时,为方便起见,通常使用简单的密码。
2011年发生的CSDN密码明文泄密事件统计显示,纯数字密码数量超过2890000,纯小写字母数量超过740000,密码数量123456789超过23万。如果我没有使用123456成功登录,我真的不相信数据的真实性。
对于弱密码知识,请参考以前的雷锋科普:密码123456,这是什么意思?
IME平台帐户分为三种类型:超级管理员,学生系统管理员和学生状态系统的一般用户。如果管理员使用弱密码(上一节中的几个帐户是管理员)并且相应的学生和家长信息被泄露,谁负责呢?一旦小规模的学生信息因泄漏而开始泄漏在网络黑市流通中,谁可以区分它是“IME的运营公司”Everyday Amy“;将学生信息用于商业目的,还是由于个人原因或管理员造成的黑客攻击?恐怕当时,舆论将“IME”的管理者推到了最前沿。
如何保护密码安全?
关于类似这个平台的问题,我曾与前香港Pod创始人和网络安全专家吴洪生私下谈过。他还发表了一些评论:
”首先,如果你没有限制登录次数,就有可能出现暴力(虽然“IME”要求你在登录十次以后输入验证码,但是......你知道);/P>
其次,在申请账户时,用户密码的长度和复杂性应该受到限制,因为网民的安全意识一般不高,所以如果申请没有受到主动限制,很多用户图很容易记住使用简单密码,留下隐患; p>
此外,您可以使用自己的设备登录其他人的帐户,还可以指示应用程序没有远程访问保护,设备保护和其他风险控制措施。 “
关于解决方案,实际上,对密码复杂性,登录入口验证码,设置场外登录,设备保护等的限制可以提高帐户的安全性。生物识别技术近年来发展迅速。尝试使用面部,语音和指纹识别而不是密码登录也可以很好地解决这个问题。用生物识别技术取代密码是未来的趋势。吴洪生本人现在开始自己的事业并推出一种使用生物识别技术代替密码的认证产品—— '洋葱标记'也是基于这种考虑。
随着生物识别技术的普及,越来越多的认证场景开始使用生物识别技术。例如,微信和移动百度都添加了“声音锁定”功能。作为一个具有大量用户和学生的超级应用IME,父母的秘密信息,帐户安全性仍有提升空间。
另一方面,用户密码使用习惯也直接决定了安全性,增强了用户的预防意识。它可以促进教师,家长和学生的网络安全知识的普及,同时促进“IME”,至少要求用户安装和使用。当'IME'时,提醒他们注意相关的网络安全。
2014年,英国政府启动了“守则年”活动,鼓励该地区的每所学校至少教授一小时的基本编程知识。今年年初,美国总统巴拉克奥巴马也呼吁“每个美国人都应该学习编程”。
置疑之后,更应理性对待
我不知道为什么,但政府部门的应用,怀疑的声音总是不可或缺的,铁道部12306,教育部的IME也是一样的,我想即使“IME”真的是整合的“洋葱令牌“生物识别信息,如声音,指纹和其他生物识别信息,以取代密码,以解决弱密码问题的产品功能,恐怕有人会质疑它并”试图收集用户生物识别信息用于商业用途”。总是存在疑虑,但不应该停止创新和进步。
无论有多少舆论和疑虑,IME的出现并非偶然,而是中国互联网和教育信息化发展到一定阶段的结果。因为无论公众有多么怀疑,这种平台和应用的出现确实可以为教育从业者,家长和学生提供更好的服务,也对推动中国教育信息化进程起到了重要作用。
