2012年1月11日，第六届中国IDC产业年度大典在北京国家会议中心盛大开幕，本届大会以“构建云数据中心暨云应用创新论坛”为主题，邀电信运营商、IDC企业、设备厂商、互联网等业界同仁共同探讨云计算时代下的IDC产业机遇与责任，现在是淘宝网的安全产品经理张建伟先生发表演讲：云安全入口之账号安全。

张建伟：各位到场来宾大家好，借这个机会祝大家新年快乐。在年前，一般我们搞安全的逢年过节都是要加班的，为什么？因为从历史数据看，一些安全事件统计上看，只要是过节的，有休闲时间的，安全问题就会翻倍，年前也是一个重点防护的时间段，但是不幸的是我们也看到行业安全问题。在这个敏感的时期，讨论这个话题也是非常敏感的，但是我觉得这个问题跟我们想象的不太一样，账号泄漏这个问题不是说一家的问题，说我们自己泄漏了，我们自己遭殃，别人泄漏了我们看他们的热闹，不是的。账号安全应该是大家共同面临的一个问题，也是整个行业将要解决的未来三到五年之内持续不断努力要解决的问题。

接下来我简单介绍一下从我的角度看到的用户安全问题。我先对自己做一个简单介绍，我之前是做Unix系统攻防出身，后来关注Web安全，到现在关注业务安全。从我个人历程上看，我是从一个技术架构开始向业务转型，更加关注业务层面的一些东西，为什么要关注业务层面的东西呢？在我看来技术层面的问题，基本上用技术就可以解决，跟业务打交道的，跟人打交道的时候，情况更加复杂，也是目前在安全领域，在民用安全领域最严重的一个问题。

说到云计算，我个人对云的了解不是特别多，我这边抽象了一个概念，只要是一个黑盒子提供服务，它可扩展，我大概就认为它是一个云。现在我们到处在讲云计算，普通用户也知道这个情况了，但是普通于乎反馈回来的声音是他们不懂什么叫云，我们云计算IDC的用户不是普通用户，而是我们的厂商，但是普通用户看到的云，应该是一个对他服务的可扩展的资源整体。从这个角度看，业务云的安全是这个样子，我本身把一个数据存储到云上，这个数据对于这朵云来说自身要对数据做一些净化，或者用户在使用这些数据的时候，可能有一些干扰，也要做一些数据净化。从投入上看，数据净化是投入大的一块。

简单讲，如果我们把NS网站，或者电子商务网站，也做一个云服务给客户提供服务，上面的数据净化可以简单看成是垃圾信息过、滤敏感信息过滤这些东西。一个封闭的系统，除了我们自己把难备做好之外，数据要保证完整之外，更多的安全方向来自于和外部有接口的地方，一朵云什么时候和外部有接口？API照用。他要用这个云服务，他怎么用的这个过程本身会出问题，对于一个给普通用户提供服务的系统来说，身份认证这个环节是最薄弱的一个环节，也是安全问题最严峻的一个环节。用户在使用云的时候有一个客户端，这个客户端可能是一台机器，可能也是一个云，也可能是一个浏览器，客户端的安全也会给云安全带来威胁。

还有，我们最近总说黑客技术越来越不如以前了，都开始搞坑蒙拐骗了，大家叫他社会公平学也罢，诈骗也罢，从我们遭遇的安全问题来说，这个上升的非常快。今天我来讲，我不可能把这么多云安全问题全涉及到，我只对身份认证，账号安全这一块做简单介绍。我的演讲内容分三个部分：第一，账号安全概述第二，账号安全防御。防御方面我讲的不是很全面，安全不是一个很单一的技术，是一套的解决方案，可能在每个环节上都要做一些措施，如果从头讲到尾可以讲几天。

第三，账号安全的未来，账号安全还有没有未来。
账号的定义：账号代表用户在服务实体拥有某种资格，我可以登录上做什么，做什么，这个账号如果被盗了，相当于他的资格被盗了。如果看到云计算的后台口令被盗，整个云的安全就无法得到很好的保证。

账号信息：一般包含大家比较了解的用户名和password，实际上一个账号信息，最基础的信息除了这两项之外，还包括手机号码，以及身份认证之后一个tickit，不同的账号有不同的信息，主流的就这些。

用于身份认证的一些账号信息，用户所知道的，他能记得住的，他只要人在哪里这个信息就可以携带到哪里。

还有一些他所拥有的，不一定每个人都记得住自己的身份号码，他要拿一个身份证，拿一个令牌，我们看到很多运维人员都有一个令牌，但是我们很少看到普通用户随身带一个令牌。现在银行安全很多都是基于硬件令牌来做的，我们普通用户很少带，一个是容易丢，另外也不是天天买东西；还有一些认证信息是个人特征，比如说指纹、笔迹，指纹、笔迹传统行业要用到，比如说IDC的机房也用到了指纹认证；还有声音，声音的认证在IT里面用得比较少，但是我们淘宝网正在探索，我们不会声音作为一个认证技术，但是可以作为一个参考。

账号常见安全问题：

1、账号关键信息泄漏或被盗

2、账号权限/身份被劫持

3、垃圾账号注册。这个对于普通用户来说可能感觉不到这个安全问题，但是对于一个提供服务的实体来说，有海量的垃圾信息，垃圾账号注册进来，势必会干扰到他提供的服务。

4、账号被拒绝服务。这个在银行见的比较多，有人会尝试你的密码，输你的用户名密码，尝试N次之后，银行觉得太有危险了，把你的账号暂时冻结了，这个账号就被拒绝服务了。常见有这么几类，其实我们最关心的普通用户应该是前两类，第一类是耳熟能详，一讲就明白的；第二类是偏技术了，普通人搞不太懂，可能就从业人员比较容易理解。

现在使用账号密码是最主流的身份认证方式，输完用户名密码点登录，就可以在网站上操作，这是最常见的方式。身份认证是账号安全最关键的一个环节，你这个信息记在脑子里头，如果不进行认证，永远不会被泄漏，你只有在去认证，在暴光过程中才可能出现问题。

账号安全防御将基于多种风险假设，我们假设账号泄漏，泄漏之后怎么办，假设黑客可以入侵我们的服务器，我们应该怎么办；假设黑客已经将账号盗取，并且登录，已经得到权限，我们应该怎么办？这是我们防御的时候应该思考的一些问题。

账号安全问题现状刚才说账号的一个薄弱环节是身份认证，现在身份认证的一些基本类型：

1、基于口令的身份认证

2、Kerperos身份认证协议。基于口令的身份认证，现在大多数网站，或者是Web都是提供这样的认证方式，一些机房、运维管理人员，他可能会用到kerperos这种协议，现在已经升级到V5版本。口令认证和Kerperos认证都有它的缺陷，我在09年的时候发现Kerperos的一个缺陷，其实它有一个linda到现在还没暴出来。

3、基于X509的身份认证4、基于生物特征的身份认证每个认证方式，如果你去仔细了解它，或者说让专业发觉漏洞的人去研究，可能发现一些问题。对于普通用户来说，身份认证只是一个麻烦，对于高手来说可能形同虚设。

基于密码的身份认证，一般会涉及到账号名称、密码这两条静态信息，认证周期有一个客户端输入、网络传输、服务端认证，认证后的一个分配权限。这几个环节里头每一个环节出现问题，都会导致账号安全问题，前两者有可能被泄漏，有的用户觉得密码是一个隐私，是不能泄漏的，但是对账号不太注意。其实，账号、密码作为两个因子，在认证的时候是一样的，包括传输过程，客户端的一些安全，这个涉及的层面比较多，也是整个安全行业长期对抗的一个安全问题。

密码的特点：之前我们不太清楚密码的特点，我们只能说密码不能小于6位，因为小于6位的话，现在的计算技术非常快，可以暴力的去破解。

1、普通用户平均只能记住7个密码，而且这7个密码里头两到三个是常用的，另外那三个不一定马上想起来。我们以前经常看到一个安全侧率，就是说要定期修改密码，如果一个人只能记住两个密码，可能会把新密码忘掉，这个账号被自己封禁了。另外一种就是他改来改去就是这两个密码，等于没改，在那里折腾，折腾的越多相当于密码暴光的次数越多，本身更是不安全的事情。我个人非常反感让我不停改密码，对于普通用户来说他做不到不停更换新的密码，这是运维人员，这是专业人员应该做的，不应该要求普通用户。

2、用户在不同网站的用户和密码很大程度是相同的。这个相同我个人是没办法的，因为我不是负责网站的，就算我负责网站，我也不知道用户不同密码是什么，这很大程度上是一种猜测，或者最近网络谣言四起，就说N个网站被泄漏，发现N个网站相同度很高。

3、70%以上用户都在存储介质上记录过自己的密码。

4、500种模式的弱口令就可以覆盖82%的互联网用户。这个抽样数据来源应该是5000万的规模，这5000万代表国内的活跃用户程序，懂互联网的人用500种密码搞定82%的人，不懂安全的人可能是100%的命中率，一种模式是你的生日，19851212这种模式，但是另外一个用户生日不一样，每个人生日是不同的，但是随着互联网的发展，我们的数据天天在泄漏，我们就是追求极端的安全防御，但是泄漏是避免不了的，生日数据已经不是什么隐私了。假设有一天所有身份证信息被泄漏了，身份证信息又会包含生日信息，以生日信息做密码的就非常危险。

当前阶段密码认证的安全威胁：1、至少90%以上的网站登录过程都不适用https 2、黑客组织非法拥有大量账号密码数据3、密码MD5和对应明文的字典数据4、网站登录只做单向认证，用户密码容易被骗，什么是单向认证？我把密码告诉你，你看一下来确认我的身份，但是我不知道你是不是我要找的那个人。这个体现在一些安全问题比如说钓鱼网站，用户并不知道这个网站是不是淘宝网，他可能把密码输进去，我们能做的是把单向认证改为双向认证，单向认证，https是一种方向认证，但是https不管从AI上来讲，还是用户欧使用来上讲，很难感觉是一个双向的认证，还认为是单向的认证。

5、窃取身份证成功后的tickit比窃取密码本身更加容易。从技术角度看，盗取一个tickit，要比盗取密码更加容易，我们看到很多网站，国内的都不能例外，我们在登录的采用的https传输的密码是加密的，我们是破解不了的，但是一旦身份认证完成之后，https协议来换跳转页面，他买到的这个票tickit被人劫走，也容易盗取到密码。

账号被滥用的几个主要途径：

1、第三方泄漏

2、钓鱼网站

3、口头诈骗

为什么说第三方泄漏，我们不清楚是不是第三方泄漏，我们每天看到，我们在一两年前就已经看到，有人拿着千万级别的用户密码数据，来尝试做登录，我们做防御。如果一个黑客在攻一个系统，攻不下去的时候，可能会转向弱的系统，当黑客尝试完所有的网站之后，觉得没有价值了，这个数据不值钱了，就便宜卖给别人。当有客户直接操作的人，把这些数据专卖给垃圾消息的时候，这个数据就被泄漏了，从专业角度看，账号泄漏绝对不是一个月之前的事情，而是一年前，两年前，或者更久以前的事情。就算今天一个网站泄漏了，那也不明天被暴出来，而是价值利用的一点意义都没有的时候再暴露出来。

SNS网站泄漏，是用的最多的，是黑客盯梢的重点。email网站泄漏，是现在常用的。我们的账号体系大部分用中文名称再登录，就跟一个QQ号一样，拿一个邮箱登录QQ不太现实的，那个用户除非他傻。我们也很有幸，我们的盗号量一直在下降，但是从外部来看盗号安全问题是严重的，今年没有去年严重，只不过是今年利用完之后被扔出来了。

钓鱼网站越来越猖獗，也是我们淘宝网重点防护的对象，钓鱼网站有一个很大的特点，刚开始完全是骗子，到现在我完全可以注册一个真的网站，我不模仿淘宝，你只要输送用户密码，我送你100条短信。未来的钓鱼网站没有任何诈骗迹象，他就是一个普通网站让你注册，注册完成之后就变成第三方泄漏，钓鱼网站会向第三方靠拢。

口头诈骗，是我们技术人员关注比较少的，从后台数据来看，口头诈骗这招屡试不爽，在账号安全里面，我们最头疼的不是黑客把数据破解了，一个用户在能到一个电话之后，一步一步的操作，把资金转给别人，这样一些问题。这个问题暴露了基础安全有待提高的现象，应该说就算是专业的从业人员，每个人的安全素质也是不一样的，一个机房里面测试做得再好，如果他的保安人员意识特别差，高手来了也很容易进去。有人昨天给我开玩笑，搞IBC不需要什么高深的技术，拿一包炸药，炸掉IBC大楼，什么事情都解决了。一个大楼被炸掉的风险究竟有多大，这个我们要评估，地震概率有多大，我们也要评估，我们做安全也不可能尽善尽美，就是安全的，账号永远不被泄漏，这个基本在理论上是不可能的，我们会评估我们的价值，我们该投入多少钱，风险有多大，带来的损失有多大，然后评估。

账号被滥用前三种是我们比较头大的，之前通过木马，或者漏洞，大家了解的比较多，我不多介绍了，从数据来看已经排到后面去了，现在木马盗号，网游产业比较常见。

CNNIC调查报告，2011年上半年密码被盗比例，如果一个用户明确知道自己账号被盗，这个意识还不错的，基本上我的账号被盗的时候，我是不知道的，高手是神不知鬼不觉的。这个调查已经说明了，我们有四分之一的用户账号被盗过。

二、账号安全防御

1、服务端账号信息防泄漏，我们怎么防信息泄漏？举一个例子，我们家里500万，怎么担心这个钱丢，花两万块钱买一个保险柜，傻子才会这样做，人家直接把保险柜拎走就可以了。我们应该去做投资，做转换。

2、身份认证协议改进。基于简单口令的认证，适合不适合再这么搞下去，哪些认证协议应该全行业大家一起推广，也是大家要思考的。

3、账号权限票据的监控4、垃圾账号注册过滤服务端防泄漏：服务端不存储明文，零知识认证过程。我的身份认证不能真的拿一个确切的身份信息，还是说我认证的过程中，不管是从开始到结束，对方是不知道我的具体信息的。
身份认证协议改进：多因素认证，加入一些其他认证条件，或者说我们身份证的这个升级大概这样：口令认证、多因素认证、多因素双向认证，你要验证我，我也要验证你一次。从安全成本来看，安全指数越高，成本越大。这就是一个企业如果要做这件事情它的难处。
淘宝用户账号安全产品、二次验证产品，淘宝用户安全业务架构，左边罗列的安全风险，右边是针对这些风险给用户提供的一些工具，他可以选择性的使用。中间是淘宝业务，买卖侧重点不同，二次验证。

一次性口令认证OTP，就是图上面显示的，有一个密码，30秒钟，或者一分钟变一次的。
UsrKey，U盾之类的东西，是把密钥放在一个U盾里，这个密钥是不能被倒出的，把随即事件加密，加密完成之后发送给服务器，服务器对应密钥进行解密，如果解密了就OK了，如果解密不了这个密钥就不对，不能进行身份认证。目前成熟的应用：网上银行、支付宝、网游。但是问题也比较多，我们可以想像，一个人他出门的时候兜里面要放五六个U盾。

八卦盾二次验证演示，Login直接吐二维码，Ajax.

三、账号安全未来低成本，高体验，安全指数要求不是特别好，差不多，能够把安全风险罩得住就可以。

账号安全还有未来吗？从账号来看，用户密码来看是没有未来的，互联网过去20年泄漏1亿账号，如果是两亿已经很不错了。如果100之后，我们的安全问题只会越来越严重，我们所有的技术改进，都可以说让用户用起来更舒服，更高效，效果更好了，唯有安全比以前更好了，以前输六位密码就可以了，现在要输十几位的密码，而且一直发邮件让我更改密码。如果行业不努力，没有人比我们努力，如果我们从事安全的，从事IT的人不努力，我们不去埋头干，最后就是所有用户一起承担。

认证手段的增加：指纹：瞳孔、面部、DNA、击键频率（键盘芭蕾）、声音，我觉得比较不错的是击键频率，键盘芭蕾，每个人输的密码节奏不一样，作为一个参考数据去认证，效果应该也不错。还有一些声音方面的，就是的声音输入非常方便，不久之后会有相关的产品出来，或者说这些除了生物技术之外，还有更多的，我希望有更多的厂商看到这个机会，推出更好的产品。

账号安全趋势：

1、减少密码使用次数，业务无密码化。让用户忘掉密码，我们的业务也不要再用密码了，我希望在不久的将来可以看到，在注册一个网站的时候，不需要输入密码就可以注册。

2、减少密码因子在认证中的比重。如果密码真的去不掉，在认证因子的比重应该是逐步降低，采取其他更好的手段来进行身份认证。

3、分级认证取代单一认证，我们现在的认证基本上都是单一认证，为了用户体验，为了省事儿，认证一次，后面的权限就全有了。支付密码，是一个动态密码，静态的密码都不是一个心里安慰，真正一个专业黑客，拿着一个500数据可以搞定82%的人均。
今天就讲这么多内容，谢谢大家。