您的位置: 连云港信息港 > 金融

京东商城账户盗刷的对策

发布时间:2019-04-11 02:12:05

据《北京晨报》报道,近日,不少京东商城的个人账户被盗刷,柳女士反映清扫车
,她的京东账户被人盗刷,密码被修改。对此现象,京东商城有关人士昨天表示,经过初步调查,账户被盗刷的用户所使用的京东商城账号、密码,大多与该用户在已被泄露信息的其他站相同,结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

去年年底,CSDN、天涯社区相继发生用户数据泄露事件后,互联行业人心惶惶。同样,在用户数据为重要的电商领域,也不断传出存在漏洞,用户信息遭泄露的消息。由于不少用户在多个站使用同一账号、密码,一旦有一家站发生信息泄露,该用户在其他站的账户信息便难以保证安全深圳新能源汽车价格
。因此,京东商城近期的频遭盗刷的原因,恐怕还是去年 泄密门 事件的后遗症。

电商站负有

对于客户个人账户被盗刷钢质防火门
,电商站负有一定。去年天涯、CSDN的泄密数据库已经广泛传播的情况下,京东商城应该对此进行预警和处理,通过程序自动扫描并限制同名同密码用户。

扫描用户的方法是,把目前已有的天涯、CSDN泄密库密码,经运算后得出哈希值,和自己数据库里的邮箱和密码进行对比,如果邮箱和密码匹配,就可以判断该用户使用的是相同的密码。

找到这些用户之后,就可以对其采取进一步的措施:

1、给这些用户的电子邮箱或发送警告信息,告知其用户名和密码处于危险状态,要求用户登录系统并修改密码。

2、对账户采取保护措施,同一城市的IP登录后,在用户修改密码之前,不能进行任何操作,强制其修改密码;如果出现异地登录情况,则自动锁定账户,同时给用户发送短信或邮件警告登录异常情况。

3、用户修改密码的时候,要求用户不能输入简单密码,必须是八位以上的字母和数字组合。

电商站的义务

显然,京东商城并没有按照上述的操作保护自己用户的财产安全,这里面的原因有以下几个:

1、企业不重视安全,对络安全投入不够,络安全技术人员得不到重视,在企业的地位和收入不高,即使有员工发现了安全问题,也没有时间和精力进行处理。终造成络应用漏洞很多,让不法分子有机可趁。

2、国家在络安全方面的立法相对还较为滞后,对于相关问题缺少法律方面的制裁,对于那些疏于安全保护的商业站,也没有给予惩罚。如果今后再次发生类似情况,应该通过完善相关法律,追究站的渎职之责,要求站对用户进行相应的赔偿。

3、主动服务用户的意识淡漠,没有把用户的利益放在位,对用户不负。

民的

另一方面,友对于注册络服务,应该采取密码分级管理,邮箱、上支付、聊天账号等重要账号要单独设置密码;论坛等普通站使用其他的密码;上银行密码不要和取款密码相同,也不和其他站密码相同。支付宝要安装数字证书,银则要申请USB KEY。

如果民贪图方便,上只使用一个密码,那么在密码被泄露之后,应该在时间去各个站修改密码,并尽快采取密码分级管理的措施。

技术解决方案

解决这类密码安全问题,一个比较好的技术解决方案,就是使用动态密码或者USB KEY,目前腾讯的令牌和Google的两步验证都是基于动态密码技术的,用户在登录的时候,除了要输入原有用户名和密码之外,还要输入自己上产生的一个动态密码,这个密码按照时间或使用次数不断动态变化,每个密码只使用一次,从而极大增强了用户密码的安全性。

动态密码技术可以免费安装在用户的智能上,因此对于用户来说,几乎没有成本,的问题就是,登录的时候似乎比以前麻烦了一些,有两种方法可以解决,一种是设置某个城市的IP登录不需要动态密码(腾讯的令牌就这么做的),另一种是在单台电脑保持三十天再输入一次(Google的做法),这样设置之后,就可以即保证用户登录的安全,又不增加用户的使用难度。

接到过更改密码通知的站有豆瓣,易,人人等,赞一个豆瓣,要求强行更改密码。 其实这个不应该怪电商的程序员,电商的程序员估计每天都在处理各种市场的需求和订单,这些只有真的做过的人才知道其中的心酸。安心坐下来优化程序、结构可能都是很的事情。XGM 于 10:51:19 回复呵呵,电商核心就是订单!木有办法的事情!

2012/2/16 0:09:41 支持(22)反对(17) 回复

(*)

验证(*)

猜你会喜欢的
猜你会喜欢的