Facebook母公司因明文存储密码(口令)被重罚,飞天诚信:GDPR合规试试“无口令”?
近日,据媒体报道,爱尔兰监管机构对Meta公司(Facebook母公司)处以9100万欧元(约合人民币7.08亿元)的罚款,原因是Meta以明文形式存储了数以亿计的用户密码(口令),并允许公司内部员工广泛访问这些密码。
Meta在2019年主动披露了这一疏漏。Meta表示,在例行的内部网络数据存储安全审查中发现,旗下多个社交网络应用程序在记录用户口令时,使用了明文存储的方式,并将这些口令存储在了一个数据库中。该数据库被大约2000名公司工程师查询过,查询次数累计超过900万次。Meta强调,没有任何证据表明内部员工不当访问了这些口令,也没有证据显示外部人员曾经获取过这些口令。然而,爱尔兰数据保护委员会持续对此事件进行调查,并最终依据欧盟《通用数据保护条例》(GDPR)对Meta处以高额罚款。
需要指出的是,本次对Meta处以9100万欧元罚款的决定并非最终结果,其金额也不是欧盟因Meta违反GDPR而对其处以的一系列罚款决定中最高的。据统计,欧盟已因Meta违反GDPR对其罚款累计超过20亿欧元,其中包括去年创纪录的12亿欧元罚款。Meta目前正在对这一系列罚款决定进行上诉。
《通用数据保护条例》(General Data Protection Regulation,简称GDPR)是欧盟制定的一项全面数据保护条例,旨在保护个人数据与隐私,于2018年5月25日起正式生效。GDPR适用于广泛的个人数据,包括姓名和身份证号码,以及个人在网络和现实中所做活动的信息数据(包括位置信息、IP地址、cookies和其他数据),这些数据可以让公司在用户浏览互联网时追踪到个人,而GDPR阻止那些公司滥用这些信息进行追踪。GDPR要求欧盟各成员国设立专门的数据保护监管机构,负责监督GDPR的遵守情况,并有权采取必要的执法措施。
GDPR被认为是欧盟有史以来较为严厉的数据保护法律。GDPR适用于数据控制者和处理者设立在欧盟境内机构的活动范围内所进行的数据处理行为,不论该处理行为是否发生在欧盟境内。GDPR规定,对于严重违反规定的企业,可以处以高达全球营业额4%或2000万欧元(取二者较高者)的罚款。企业还可能被要求对个人造成的损失进行赔偿。违规行为将被公之于众,这可能会因失去客户信任而带来更大的成本。
来自世界各地的数百家技术公司和服务提供商在FIDO联盟和W3C的合作下创建了“无密码”登录标准(WebAuthn),该标准已经被数十亿设备和所有现代网络浏览器所支持。通过制定开放的、可扩展的、可互操作的协议,FIDO 联盟正在从本质上改变着身份认证,从而改变取代在线服务对用户进行身份认证时对密码的依赖。飞天诚信于2014年加入FIDO联盟,是FIDO联盟董事会成员之一。飞天诚信构建了丰富的FIDO Security Key无密码认证产品线,包括BioPass FIDO、BioPass FIDO Plus (支持FIDO2和PIV),AllinPass FIDO产品(USB / NFC / BLE)等。
飞天诚信无源指纹卡在ID-1规格(厚度不超过0.84mm)的卡片中嵌入了安全芯片和指纹识别模组,使得IC卡应用能够“无缝”使用指纹代替口令进行身份认证。飞天诚信无源指纹卡支持自助注册指纹,用户可自行使用指纹IC卡录入指纹,个人指纹信息“不出卡”。对个人而言,能够有效避免指纹信息泄露;对企业而言,部署指纹IC卡的同时不涉及采集个人信息,有助于实现GDPR合规。