9月29日，教育部官方網(wǎng)站再次通過媒體向公眾保證，IME沒有透露任何信息。這是繼教育部官方網(wǎng)站5月30日后，“教育技術(shù)服務(wù)平臺”公開發(fā)布的“國家教育技術(shù)服務(wù)平臺”，并再次強調(diào)學生信息安全。

根據(jù)教育部9月29日向媒體公布的數(shù)據(jù)，全國中小學生信息管理系統(tǒng)已完成1.9億學生信息存儲，數(shù)量將繼續(xù)增加，最終覆蓋全國28萬多所學校，所有信息通過“教育技術(shù)服務(wù)平臺”（簡稱“IME”）的應(yīng)用程序上傳。

　　“不經(jīng)意”的嘗試，小白如何獲取"IME"的管理員賬號?

我想親自體驗這個超級應(yīng)用程序，但我發(fā)現(xiàn)我需要使用學生的注冊碼進行注冊。

由于我無法登錄體驗，我希望通過搜索引擎找到其他細節(jié)，但無意中在“IME”方法中找到了某個文檔。 （注：沒有鑲嵌的原始圖片）

圖像顯示用戶的帳號和密碼數(shù)字是六位數(shù)，所以我猜這個密碼可能是一個非常常見的弱密碼123456，登錄后結(jié)果是成功的：

我發(fā)現(xiàn)該軟件沒有設(shè)置驗證碼和重復登錄的任何限制，因此使用123456作為密碼來嘗試其他類似帳戶，看看是否有更多人使用123456作為密碼。因此，在幾分鐘內(nèi)嘗試手動輸入后，我成功登錄了3個帳戶，所有帳戶都是管理員。

隨后，我向有關(guān)部門反饋了弱密碼問題，也引發(fā)了相關(guān)思考：

一方面，IME用戶不了解自己的安全性，使用簡單的密碼可能會導致帳戶被盜;

另一方面，它也揭示了信息安全應(yīng)用的不完善之處。

根據(jù)上述操作，即使您不了解任何黑客技術(shù)，您也可以通過簡單的嘗試成功登錄管理員帳戶。如果黑客通過圖書館，社會工作者或蠻力攻擊進行大規(guī)模的嘗試，可以想象后果。誰將對大規(guī)模的信息泄漏事件負責？

　　用戶因弱口令問題泄漏信息，誰負責?

弱密碼是簡單的密碼，已成為最常見，最有害，最易受黑客攻擊的密碼。今天，當網(wǎng)絡(luò)安全意識普遍較弱時，為方便起見，通常使用簡單的密碼。

2011年發(fā)生的CSDN密碼明文泄密事件統(tǒng)計顯示，純數(shù)字密碼數(shù)量超過2890000，純小寫字母數(shù)量超過740000，密碼數(shù)量123456789超過23萬。如果我沒有使用123456成功登錄，我真的不相信數(shù)據(jù)的真實性。

對于弱密碼知識，請參考以前的雷鋒科普：密碼123456，這是什么意思？

IME平臺帳戶分為三種類型：超級管理員，學生系統(tǒng)管理員和學生狀態(tài)系統(tǒng)的一般用戶。如果管理員使用弱密碼（上一節(jié)中的幾個帳戶是管理員）并且相應(yīng)的學生和家長信息被泄露，誰負責呢？一旦小規(guī)模的學生信息因泄漏而開始泄漏在網(wǎng)絡(luò)黑市流通中，誰可以區(qū)分它是“IME的運營公司”Everyday Amy“;將學生信息用于商業(yè)目的，還是由于個人原因或管理員造成的黑客攻擊？恐怕當時，輿論將“IME”的管理者推到了最前沿。

　　如何保護密碼安全?

關(guān)于類似這個平臺的問題，我曾與前香港Pod創(chuàng)始人和網(wǎng)絡(luò)安全專家吳洪生私下談過。他還發(fā)表了一些評論：

”首先，如果你沒有限制登錄次數(shù)，就有可能出現(xiàn)暴力（雖然“IME”要求你在登錄十次以后輸入驗證碼，但是......你知道）;/P>

其次，在申請賬戶時，用戶密碼的長度和復雜性應(yīng)該受到限制，因為網(wǎng)民的安全意識一般不高，所以如果申請沒有受到主動限制，很多用戶圖很容易記住使用簡單密碼，留下隱患; p>

此外，您可以使用自己的設(shè)備登錄其他人的帳戶，還可以指示應(yīng)用程序沒有遠程訪問保護，設(shè)備保護和其他風險控制措施。 “

關(guān)于解決方案，實際上，對密碼復雜性，登錄入口驗證碼，設(shè)置場外登錄，設(shè)備保護等的限制可以提高帳戶的安全性。生物識別技術(shù)近年來發(fā)展迅速。嘗試使用面部，語音和指紋識別而不是密碼登錄也可以很好地解決這個問題。用生物識別技術(shù)取代密碼是未來的趨勢。吳洪生本人現(xiàn)在開始自己的事業(yè)并推出一種使用生物識別技術(shù)代替密碼的認證產(chǎn)品—— '洋蔥標記'也是基于這種考慮。

隨著生物識別技術(shù)的普及，越來越多的認證場景開始使用生物識別技術(shù)。例如，微信和移動百度都添加了“聲音鎖定”功能。作為一個具有大量用戶和學生的超級應(yīng)用IME，父母的秘密信息，帳戶安全性仍有提升空間。

另一方面，用戶密碼使用習慣也直接決定了安全性，增強了用戶的預防意識。它可以促進教師，家長和學生的網(wǎng)絡(luò)安全知識的普及，同時促進“IME”，至少要求用戶安裝和使用。當'IME'時，提醒他們注意相關(guān)的網(wǎng)絡(luò)安全。

2014年，英國政府啟動了“守則年”活動，鼓勵該地區(qū)的每所學校至少教授一小時的基本編程知識。今年年初，美國總統(tǒng)巴拉克奧巴馬也呼吁“每個美國人都應(yīng)該學習編程”。

　　置疑之后，更應(yīng)理性對待

我不知道為什么，但政府部門的應(yīng)用，懷疑的聲音總是不可或缺的，鐵道部12306，教育部的IME也是一樣的，我想即使“IME”真的是整合的“洋蔥令牌“生物識別信息，如聲音，指紋和其他生物識別信息，以取代密碼，以解決弱密碼問題的產(chǎn)品功能，恐怕有人會質(zhì)疑它并”試圖收集用戶生物識別信息用于商業(yè)用途”?？偸谴嬖谝蓱]，但不應(yīng)該停止創(chuàng)新和進步。

無論有多少輿論和疑慮，IME的出現(xiàn)并非偶然，而是中國互聯(lián)網(wǎng)和教育信息化發(fā)展到一定階段的結(jié)果。因為無論公眾有多么懷疑，這種平臺和應(yīng)用的出現(xiàn)確實可以為教育從業(yè)者，家長和學生提供更好的服務(wù)，也對推動中國教育信息化進程起到了重要作用。

« 色情域名搶注，微軟，哈佛強強聯(lián)手 | 開關(guān)版《茶杯頭》已經(jīng)開始銷售正式發(fā)售！ »