“安全问题”的安全问题

王朝阳　冯琦

摘 要：文章从网站设计者的角度分析了申请网络账号时需要设定“安全问题”这一保护措施的初衷，并且深入研究了“安全问题”涉及到的个人隐私信息。阐述了在互联网技术高速发展下，网站被动泄密造成个人用户信息安全受到危害的可能性，进而使用户在金融和身心方面造成二次伤害的可能性。最后针对这一问题，从用户的角度提出了主动防御的安全建议，能够减少或避免较大的安全隐患。

关键词：安全问题；信息安全；信息泄漏；安全隐患

引言

在申请QQ账号、网易邮箱等网络账号的时候，网站通常建议用户设置“安全问题”，以确保忘记密码的情况下可以通过这些问题来找回自己“信息”。这些“安全问题”在很大程度上的确保证了账号丢失后的找回，带来了一定的“安全”，但同时却也带来了更大的安全隐患。

1 “安全问题”初衷与问题内容分析

“安全问题”主要是网络社交等账号提供商为确保用户可以找回可能丢失的账户而设计的一些与用户相关的问题。在实际应用中，腾讯、网易等服务提供者，通过“安全问题”的保护措施帮助庞大的用户群找回了宝贵的信息资料，在这方面起到了重要作用。

通过统计分析发现，这些“安全问题”包含的内容，往往涉及到用户的相关隐私信息。这些安全问题的内容包含：用户父母的姓名、生日，用户的工号、证件号、手机号以及用户朋友姓名等隐私信息，在某些情况下有些网站（如腾讯、小米等，但并不强制）甚至需要提供用户身份证号等信息。这样设计的主要原因是这些内容用户熟知且不需要额外记忆，相对于繁杂的账户密码更难忘记，同时也使得账户更不容易丢失。

虽然在填写“安全问题”时，并不要求用户填写真实的信息，但往往填写虚假答案需要更多的额外记忆量。一旦丢失账号并且忘记所填写的答案，则几乎完全不可能找回账户信息。因此，更多的人倾向于填写真实有关隐私的答案。

2 隐患存在的可能性

以前很多人很少思考将隐私信息交给大型网站所带来的安全隐患，总要一个好的梦想：大型网站的安全性一定很高，所用的技术也一定很先进；忽略了技术在不断进步，昨天可能安全的东西，今天就会变得漏洞百出。

首先，时代在进步，互联网技术在发展，没有任何一家公司必定会一直在技术上遥遥领先。摩托罗拉、诺基亚等公司在几年前如日中天，现在却已经几乎消失不见，最根本的原因是在相关技术领域已经不能处于领先水平，其地位被其他公司代替；而华为、中兴、小米等手机公司却好像突然强大，也是由于技术的进步。

其次，大型网站已多次发生安全事故，并非大公司就一定安全。较为著名的信息泄漏事件有：美国Apple公司发生的好莱坞女星私密照片泄漏事件（2014年9月，报道广泛，涉及用户10个以下）、中国12306网站大量退票事件（2014年12月，乌云网发布，涉及用户十几万）、网易账号大量泄漏事件（2015年9月，乌云网白帽子测试发布，涉及用户约5亿）。当然这样的统计数据并非100%精确，也有可能是通过其他网站信息来进行推断破解的，但可在一定程度上说明这些大公司确实存在一些安全漏洞。

最后，大型网站系统安全维护者存在对手“黑客”。网络上存在一些喜欢对网络安全进行分析并攻击的人，他们称为“黑客”，在技术方面并不输给大型网络公司的安全技术人员。

3 安全隐患的危害

个人信息的泄漏往往会带来不同程度的危害，小到仅仅信息泄漏，达到危及金融账户安全，甚至危及个人性命安全，带来的危害从小到大具体描述如下。

3.1 仅仅个人信息泄漏

这一类危害性最小，仅仅是泄漏了信息，并没有来主动破坏用户安全。并没有带来更大的危害，但这一类是其他几种严重危害的基础，严重的危害用户的信息是通过对大量这类消息进行数据分析、检索、判断后得到的。

3.2 个人信息网络曝光

这类危害主要是对明星、企业以及政府等相关人员危害较大。如各种“艳照门”类的“门”事件，会对所涉及个人造成严重的心理或生活的伤害；又如一些上市企业的关键技术人员的有些不良信息曝光，会影响公司股票投资等等。

3.3 银行等金融账户被盗

主要是通过在其他网络上泄漏的账号和密码与金融银行类网站进行配对和比较，如果金融账户用户名与密码正好相同，则可以进入金融账户，将其内部资金转账或者消费。这一类危害最容易引起注意，对普通人们的危害较大，范围也最广。

3.4 个人生命安全受到威胁

主要是通过获取个人信息中的住址、联系方式，然后结合用户在社区平台（如人人网、QQ空间）上的照片，来进行行为习惯分析，最后达到危害人身安全的目的，这类对个人的危害性最大。

4 减少安全隐患的建议

对于由“安全问题”带来的安全隐患，可以通过一些手段减小隐患，提高自己信息的安全度，具体的方式如下。

4.1 设计一套有关自己的安全信息

在这套安全信息里面，使用完全虚假的信息填充，要包含：自己的名字和生日、学号以及工号，最好朋友姓名，自己的所有学历，故乡和工作地址，父母姓名和生日等等。如果在一些网络社交账户（非必需正确信息等的金融账户）中要求“安全问题”，通过这些设定好的虚假内容填写。

4.2 最好不要将常用邮箱账户名作为金融类帐户名

在支付宝、财付通等网络金融账户中，通常将常用邮箱作为安全邮箱甚至登入名，这样比较危险。常用的邮箱登入次数多，甚至与可能与很多其他网站账户绑定，当这些网站的出现安全隐患时，容易通过密码联想撞破金融账户密码；更有甚者其密码本来就一样，危险则更大。

4.3 在对所有人公开的社交网络空间尽量少放置个人照片等信息

在对所有人公开的社交网络空间放置个人照片等信息容易让别有用心的人通过图片附带文字或网络评论获取个人生活习惯、家庭学校住址等信息，这些信息会给坏人造成更多可乘之机。

5 结束语

在申请网络帐号时设置的“安全问题”常包含用户的隐私信息，并且即使是大型网站也有可能存在安全隐患问题。如果我们在設置这些“安全问题”的时候，应该通过一些措施来减少安全信息泄漏的可能性。文章对个人用户提出的安全建议，能够有效地保护个人隐私安全。