一、某國領(lǐng)導(dǎo)人推特密碼被猜中
小白:大東東~看新聞了嗎?某國領(lǐng)導(dǎo)人的密碼被破解了!
大東:嗯,準(zhǔn)確地說是密碼被猜中了!
小白:沒想到這個擁有8700萬粉絲的推特賬戶使用的密碼竟然如此簡單,“MAGA2020”——“讓美國再次強(qiáng)大”(Make America Great Again)。
大東:某國領(lǐng)導(dǎo)人的個人推特賬戶自他2017年1月就任總統(tǒng)以來,就一直非常活躍,但也數(shù)次爆出密碼被安全研究員猜中。
小白:某國領(lǐng)導(dǎo)人的推特賬號,這也太不小心了。
大東:不僅如此,猜中密碼的研究人員還透露,某國領(lǐng)導(dǎo)人沒有為此賬戶啟用兩步驗證。也就是說,猜出密碼的任何人都能夠登錄帳戶、做出更改、發(fā)送自己想推的任何言論。
小白:太危險了!
某國領(lǐng)導(dǎo)人的推特賬號(圖片來自網(wǎng)絡(luò))
二、大話始末
大東:其實,這已經(jīng)不是黑客第一次黑進(jìn)他的Twitter賬戶了。
小白:哦?
大東:第一次是在四年前,在2016年大選前夕,三名黑客聯(lián)手檢索了他的密碼并進(jìn)入了他的賬戶。
小白:時間點都很相似呢!
大東:是的,同樣距離總統(tǒng)選舉只有三周的時間,俄羅斯和伊朗也有黑客入侵成功。
小白:他的推特賬戶簡直是全球黑客的共同靶子呀!
大東:入侵的黑客Gevers表示,攻擊特朗普賬戶的原因與競選對手的報道有關(guān),他兒子的一個硬盤被黑客入侵,原因正是拜登使用了一個容易被猜到的密碼(Hunter02)。
小白:哈哈,所以Gevers還想檢查下Twitter認(rèn)證賬戶的安全性咯~
大東:他本人表示,他的工作就是尋找安全漏洞。
小白:黑客也是為總統(tǒng)的密碼安全操碎了心啊~
大東:出于良好的意圖,Gevers之后給某國領(lǐng)導(dǎo)人發(fā)提醒郵件,建議他采取額外的安全措施,或者使用一個稍微長一點的密碼。
小白:好奇他們會不會采納一個黑客的建議~
大東:善意且有用的建議都應(yīng)該被考慮采納。
三、密碼安全性
1)賬戶密碼簡單得驚人
大東:問題的主要原因是賬戶設(shè)置的密碼過于簡單,這回他被猜中的密碼是他在2016年大選中使用的競選口號的縮寫,具有一定的意義和個人標(biāo)志,因此很容易被他人猜中。
小白:我知道~這就和我把生日日期設(shè)成銀行密碼是一個道理。
大東:請問你的生日是什么時候?
小白:哼,我可不會傻到說出來!
大東:由于密碼設(shè)置過于簡單,入侵者甚至只用5次嘗試就猜中了。就算用戶想使用具有個人特征的語句作為密碼,也應(yīng)該考慮設(shè)置得復(fù)雜一些。比如某國領(lǐng)導(dǎo)人的弱密碼可以升級成:“!IWillMakeAmericaGreatAgain2020!”(我要讓美國再次回到2020年!)
小白:這年頭設(shè)個密碼也真難啊~
2)激活兩步驗證
大東:其實,賬戶的兩步驗證也是一道重要安全保障。
小白:兩步驗證是啥意思?
大東:舉個例子,國內(nèi)很多網(wǎng)絡(luò)服務(wù) ,比如購物網(wǎng)站、銀行,在支付的時候,除了需要你輸入正確的帳號密碼之外,常常還額外給你發(fā)一條帶有驗證碼的手機(jī)短信,以此進(jìn)一步確認(rèn)你是帳號的真正主人。
小白:噢~原來就是手機(jī)驗證碼。
大東:這其實就是“兩步驗證”,或者叫做“雙因素驗證”的一種實現(xiàn)方式,它這里第二步驗證是靠手機(jī)短信來發(fā)送驗證碼的。而國外的網(wǎng)絡(luò)服務(wù)還會使用一種叫“身份驗證器”或叫“虛擬 MFA”的二步驗證方式,它是利用一種“隨時間變化的驗證碼”來取代手機(jī)短信,不僅更安全,而且可離線使用,通用性也更強(qiáng)。
小白:我知道了。兩步驗證也是相當(dāng)于給帳號多加一把“鎖”,在輸入正確的賬號密碼之后,用戶同樣還需要額外口令才能完成登錄。
大東:是的。所以即使你的帳號和密碼不慎泄露了,別人在沒有這個數(shù)字驗證碼也是無法登錄你的賬號的,這可以大大提高破解的難度和帳號的安全性。所以建議所有能開啟二步驗證的重要網(wǎng)絡(luò)帳號都要全部開啟。
兩步驗證(圖片來自網(wǎng)絡(luò))
3)密碼不要重復(fù)使用
大東:此外,當(dāng)下由于互聯(lián)網(wǎng)蓬勃發(fā)展,每個人日常需要使用的賬號密碼越來越多,每個賬戶都需要設(shè)置密碼。這就帶來一個問題,很多用戶會設(shè)計一個復(fù)雜密碼,然后在所有登錄入口皆用這同一個密碼,這里存在著一些潛在的安全隱患。
小白:求指教!
大東:這就是拖庫、買庫。其實,不管你的密碼是否復(fù)雜,其實黑客是不知道的,其一般的攻擊行為是始發(fā)自各大門戶網(wǎng)站、電商平臺,而不是去掃描偷窺監(jiān)聽你的鍵盤。
小白:怎么做到的?
大東:有兩種手段,一是黑客攻擊服務(wù)器盜取數(shù)據(jù),二是內(nèi)鬼販賣數(shù)據(jù),里應(yīng)外合。
小白:哦,這樣黑客就能批量盜取一個平臺下用戶的賬戶信息,然后再拿這個密碼去別的平臺嘗試登錄。
大東:理解得不錯!
四、密碼設(shè)置指南
小白:天惹,上個網(wǎng)真的太難了!
大東:在設(shè)置密碼的時候應(yīng)該注意符合安全的復(fù)雜性要求。
小白:具體是什么呢?
大東:密碼策略一直是活動目錄策略中比較特殊的一個策略,所謂密碼復(fù)雜性,網(wǎng)站的一般要求會包括:密碼長度超過8個字符,密碼不能包含用戶名或全名的任何部分,密碼必須至少包含英文大寫字母、小寫字母、阿拉伯?dāng)?shù)字、標(biāo)點符號著4類字符。
小白:這么多賬號呢,每個都這么設(shè),我早就忘記了。
大東:你可以使用密碼管理軟件,保證每個密碼的安全復(fù)雜度,又能安全保存每個密碼。
小白:喔~
大東:不過密碼還是要勤更換,最好三個月能換新密碼。同時,賬戶也要開啟兩步驗證,多一重安全防護(hù)。
小白:get了,這就改密碼去!
參考文獻(xiàn):
1. 荷蘭研究人員猜出特朗普的推特密碼MAGA2020:https://mp.weixin.qq.com/s/8tvPgQH0KQtJFI9mBamxAA
2. 什么是兩步驗證?怎樣開啟二步驗證?好用的身份驗證器密碼 App 軟件推薦:https://www.iplaysoft.com/two-factor-authentication.html
3. 黑客多次入侵特朗普Twitter賬戶,稱其密碼太簡單,還發(fā)郵件勸特朗普改密碼:
https://www.thepaper.cn/newsDetail_forward_9807667
4. 密碼不符合系統(tǒng)密碼復(fù)雜性策略:https://blog.51cto.com/gnaw0725/30217
5. 為什么所有賬號使用同一個復(fù)雜密碼會帶來極大的安全問題?https://zhuanlan.zhihu.com/p/27844352
來源:中國科學(xué)院計算技術(shù)研究所
