5月29日，中国软件评测中心联合北京大学互联网安全技术北京市重点实验室在京发布了《网站用户口令处理安全性外部测评报告》。该报告指出，国内网站对用户口令的处理方式存在很大的差异，在安全性方面问题十分突出。100个流行网站中，仅有8个网站采取了充分的安全措施，有59个网站没有采取任何安全措施，更有85个网站直接拿到了用户的口令原文，明显侵犯用户隐私权。为了提升各相关网站对个人信息保护技术和管理水平，中国软件评测中心宣布依照《信息安全技术 公共及商用服务信息系统个人信息保护指南》国家标准，为相关企业开展《个人信息保护管理体系认证》服务，旨在通过各方面努力，加强个人信息保护，营造一个健康有序的互联网环境。

中国软件评测中心副主任北京赛迪信息技术评测有限公司执行总裁高炽扬表示，此次中国软件评测中心（微博http://weibo.com/u/1961472124）联合北京大学互联网安全技术北京市重点实验室（微博http://weibo.com/listbj），抽取了门户、邮箱、电子商务、招聘类、婚恋类、游戏类、论坛、博客、微博共9大类100个网站，对其用户口令处理进行了安全性测评。

通过对9种类型中的100个网站进行测评发现，网站的开发者、运营者在用户口令处理的策略上有很大差异，大多数网站对用户口令处理的安全意识不够。100个网站中，仅有8个网站采取了充分的安全措施对用户口令做处理，有59个网站没有采取任何安全措施，使得用户口令直接暴露在传输网络以及服务器端，即网民所说的裸奔状态。更有85个网站直接拿到了用户的口令原文，这种做法是明显侵犯用户隐私权的，尤其是用户经常在不同站点重用口令的现状下，这些网站的处理方式大大增加了用户的安全风险。

报告显示，不同类型的网站对用户口令处理的安全意识不一样：招聘类、婚恋类网站的安全意识相对最薄弱，门户类、游戏类、邮箱类网站的安全意识相对较好。大多网站对用户口令管理的安全问题重视不够，仅仅关注可用性方面，对于保密性方面的关注度不够。

报告建议网站使用“口令hash+加密信道”的“口令散列值加密传输”模式，一方面可以对抗黑客嗅探通信包并进行口令破解，另一方面可防止企业间谍在服务器端直接获取用户口令原文。此外，该报告还建议在对口令进行hash处理的时候，加入salt以增大黑客破解口令hash值的难度。

高炽扬在接受媒体采访时表示，为了进一步提升网站对用户信息的保护，加强相关企业在技术和管理体系上对个人信息的保护力度，营造一个健康有序的互联网环境，中国软件评测中心依据《信息安全技术 公共及商用服务信息系统个人信息保护指南》国家标准，面向网站等相关企业开展《个人信息保护管理体系认证》服务。她还介绍了《个人信息保护管理体系认证》细节及中国软件评测中心实施该认证的流程详情。他表示，该认证将为相关企业带来众多方面的优势，包括规范企业对各人信息保护行为，提高企业在公众中的形象和声誉，最大限度地增加投资回报和商业机会，促进企业与境外企业组织的合作与交流等。“企业应从风险评估、系统规划、风险管理和颁行推广等四个方面建设企业个人保护管理体系。”高炽扬说。