京东商城账户盗刷防范方法策略

京东商城账户盗刷防范方法策略

近日，不少京东商城的个人账户被盗刷，柳女士反映，她的京东账户被人盗刷，密码被修改。对此现象，京东商城有关人士昨天表示，经过初步调查，账户被盗刷的用户所使用的京东商城账号、密码，大多与该用户在已被泄露信息的其他网站相同，结果给了不法分子套用这些账号、密码盗刷京东账户的机会。

去年年底，CSDN、天涯社区相继发生用户数据泄露事件后，互联网行业人心惶惶。同样，在用户数据最为重要的电商领域，也不断传出存在漏洞，用户信息遭泄露的消息。由于不少用户在多个网站使用同一账号、密码，一旦有一家网站发生信息泄露，该用户在其他网站的账户信息便难以保证安全。因此，京东商城近期的频遭盗刷的原因，恐怕还是去年“泄密门”事件的后遗症。

电商网站负有责任

对于客户个人账户被盗刷，电商网站负有一定责任。去年天涯、CSDN的泄密数据库已经广泛传播的情况下，京东商城应该对此进行预警和处理，通过程序自动扫描并限制同名同密码用户。

扫描用户的方法是，把目前已有的天涯、CSDN泄密库密码，经运算后得出哈希值，和自己数据库里的邮箱和密码进行对比，如果邮箱和密码匹配，就可以判断该用户使用的是相同的密码。

找到这些用户之后，就可以对其采取进一步的措施：

1、给这些用户的电子邮箱或手机发送警告信息，告知其用户名和密码处于危险状态，要求用户登录系统并修改密码。

2、对账户采取保护措施，同一城市的IP登录后，在用户修改密码之前，不能进行任何操作，强制其修改密码；如果出现异地登录情况，则自动锁定账户，同时给用户发送短信或邮件警告登录异常情况。

3、用户修改密码的时候，要求用户不能输入简单密码，必须是八位以上的字母和数字组合。

电商网站的义务

显然，京东商城并没有按照上述的操作保护自己用户的财产安全，这里面的原因有以下几个：

1、企业不重视安全，对网络安全投入不够，网络安全技术人员得不到重视，在企业的地位和收入不高，即使有员工发现了安全问题，也没有时间和精力进行处理。最终造成网络应用漏洞很多，让不法分子有机可趁。

2、国家在网络安全方面的立法相对还较为滞后，对于相关问题缺少法律方面的制裁，对于那些疏于安全保护的商业网站，也没有给予惩罚。如果今后再次发生类似情况，应该通过完善相关法律，追究网站的渎职之责，要求网站对用户进行相应的赔偿。

3、主动服务用户的意识淡

漠，没有把用户的利益放在第一位，对用户不负责任。

网民的责任

另一方面，网友对于注册网络服务，应该采取密码分级管理，邮箱、网上支付、聊天账号等重要账号要单独设置密码；论坛等普通网站使用其他的密码；网上银行密码不要和取款密码相同，也不和其他网站密码相同。支付宝要安装数字证书，网银则要申请USB KEY。

如果网民贪图方便，上网只使用一个密码，那么在密码被泄露之后，应该在第一时间去各个网站修改密码，并尽快采取密码分级管理的措施。

技术解决方案

解决这类密码安全问题，一个比较好的技术解决方案，就是使用动态密码或者USB KEY，目前腾讯的手机令牌和Google的两步验证都是基于动态密码技术的，用户在登录的时候，除了要输入原有用户名和密码之外，还要输入自己手机上产生的一个动态密码，这个密码按照时间或使用次数不断动态变化，每个密码只使用一次，从而极大增强了用户密码的安全性。

动态密码技术可以免费安装在用户的智能手机上，因此对于用户来说，几乎没有成本，唯一的问题就是，登录的时候似乎比以前麻烦了一些，有两种方法可以解决，一种是设置某个城市的IP登录不需要动态密码（腾讯的手机令牌就这么做的），另一种是在单台电脑保持三十天再输入一次（Google的做法），这样设置之后，就可以即保证用户登录的安全，又不增加用户的使用难度。