中国软件评测中心联合北京大学互联网安全技术北京市重点实验室在京发布了《网站用户口令处理安全性外部测评报告》。该报告指出，国内网站对用户口令的处理方式存在很大的差异，在安全性方面问题十分突出。100个流行网站中，仅有8个网站采取了充分的安全措施，有59个网站没有采取任何安全措施，使得用户口令直接暴露在传输网络以及服务器端，即网民所说的裸奔状态。更有85个网站直接拿到了用户的口令原文，明显侵犯用户隐私权，尤其是用户经常在不同站点重用口令的现状下，这些网站的处理方式大大增加了用户的安全风险。
　　
　　由此，不免让我们联想到2011年底震惊中国互联网的“泄密门”事件，CSDN等网站超过5000万个用户账号和密码被盗取，并且在网上公开扩散，造成了人们对信息安全的恐慌。国富安信息安全专家表示：随着电子商务和社交网络的兴盛，用户的个人隐私信息将成为黑客攻击的重点目标，未受保护的用户隐私信息一旦流传于网络，将随时可能成为黑客攻击的主要对象，并引发新一轮潜在的安全危机。
　　
　　面对严峻的信息安全和新的威胁发展形势，国富安的安全专家认为，需要从以下几个层面来避免用户信息的“裸奔”。
　　
　　首先，由于大部分用户为了方便记忆，用一个密码‘包打天下’，殊不知这种做法非常危险。为了保障个人信息安全，用户不但要在各类网站设置不同的密码，还要经常更换密码。即便不能对每一家网站都单独设定账号和密码，也应根据不同的重要程度尽量细分，比如网银、邮箱、普通网站论坛都应设置不同的用户名和密码，并且一定时期后要进行修改，从而将安全威胁降到最低。
　　
　　其次，除了用户的安全防范手段外，还需考虑网站的安全策略问题。各类网站需要提高用户数据安全的意识，加强对应用安全、数据安全有效监管。国富安电子证书安全认证系统(GFACA)采用数字证书进行公钥管理，能够通过证书认证机构，把用户的公钥和用户的标识信息(如用户名、电子邮件等)捆绑在一起，以在网络上标明和验证用户的身份，确保信息传输的保密性、信息的完整性、信息的不可否认性以及身份的真实性。并且能够满足在多种操作系统下对签名、加密、身份认证、数字信封、密钥管理等应用需求，帮助客户建立起立体的安全防御体系，提升业务价值。
　　
　　此外，目前我国在网站用户口令处理方面，没有一个明确的标准或规范，如何处理用户口令这一私密性很强的用户个人信息，只能依赖网站开发者、运营者对安全常识的了解和自律性，来加强应用安全监管力度。因此我们也呼吁政府尽快建立个人信息保护体系，加强相关企业在技术和管理体系上对个人信息的保护力度，营造健康的互联网环境。

　　责任编辑：Alisa编辑