一、某國(guó)領(lǐng)導(dǎo)人推特密碼被猜中

小白：大東東～看新聞了嗎？某國(guó)領(lǐng)導(dǎo)人的密碼被破解了！

大東：嗯，準(zhǔn)確地說是密碼被猜中了！

小白：沒想到這個(gè)擁有8700萬粉絲的推特賬戶使用的密碼竟然如此簡(jiǎn)單，“MAGA2020”——“讓美國(guó)再次強(qiáng)大”（MakeAmericaGreatAgain）。

大東：某國(guó)領(lǐng)導(dǎo)人的個(gè)人推特賬戶自他2017年1月就任總統(tǒng)以來，就一直非常活躍，但也數(shù)次爆出密碼被安全研究員猜中。

小白：某國(guó)領(lǐng)導(dǎo)人的推特賬號(hào)，這也太不小心了。

大東：不僅如此，猜中密碼的研究人員還透露，某國(guó)領(lǐng)導(dǎo)人沒有為此賬戶啟用兩步驗(yàn)證。也就是說，猜出密碼的任何人都能夠登錄帳戶、做出更改、發(fā)送自己想推的任何言論。

小白：太危險(xiǎn)了！

某國(guó)領(lǐng)導(dǎo)人的推特賬號(hào)（圖片來自網(wǎng)絡(luò)）

二、大話始末

大東：其實(shí)，這已經(jīng)不是***第一次黑進(jìn)他的Twitter賬戶了。

小白：哦？

大東：第一次是在四年前，在2016年大選前夕，三名***聯(lián)手檢索了他的密碼并進(jìn)入了他的賬戶。

小白：時(shí)間點(diǎn)都很相似呢！

大東：是的，同樣距離總統(tǒng)選舉只有三周的時(shí)間，俄羅斯和伊朗也有***入侵成功。

小白：他的推特賬戶簡(jiǎn)直是全球***的共同靶子呀！

大東：入侵的***Gevers表示，攻擊特朗普賬戶的原因與競(jìng)選對(duì)手的報(bào)道有關(guān)，他兒子的一個(gè)硬盤被***入侵，原因正是拜登使用了一個(gè)容易被猜到的密碼（Hunter02）。

小白：哈哈，所以Gevers還想檢查下Twitter認(rèn)證賬戶的安全性咯～

大東：他本人表示，他的工作就是尋找安全漏洞。

小白：***也是為總統(tǒng)的密碼安全操碎了心啊～

大東：出于良好的意圖，Gevers之后給某國(guó)領(lǐng)導(dǎo)人發(fā)提醒郵件，建議他采取額外的安全措施，或者使用一個(gè)稍微長(zhǎng)一點(diǎn)的密碼。

小白：好奇他們會(huì)不會(huì)采納一個(gè)***的建議～

大東：善意且有用的建議都應(yīng)該被考慮采納。

三、密碼安全性

1）賬戶密碼簡(jiǎn)單得驚人

大東：?jiǎn)栴}的主要原因是賬戶設(shè)置的密碼過于簡(jiǎn)單，這回他被猜中的密碼是他在2016年大選中使用的競(jìng)選口號(hào)的縮寫，具有一定的意義和個(gè)人標(biāo)志，因此很容易被他人猜中。

小白：我知道～這就和我把生日日期設(shè)成銀行密碼是一個(gè)道理。

大東：請(qǐng)問你的生日是什么時(shí)候？

小白：哼，我可不會(huì)傻到說出來！

大東：由于密碼設(shè)置過于簡(jiǎn)單，入侵者甚至只用5次嘗試就猜中了。就算用戶想使用具有個(gè)人特征的語句作為密碼，也應(yīng)該考慮設(shè)置得復(fù)雜一些。比如某國(guó)領(lǐng)導(dǎo)人的弱密碼可以升級(jí)成：“!IWillMakeAmericaGreatAgain2020!”（我要讓美國(guó)再次回到2020年！）

小白：這年頭設(shè)個(gè)密碼也真難啊～

2）激活兩步驗(yàn)證

大東：其實(shí)，賬戶的兩步驗(yàn)證也是一道重要安全保障。

小白：兩步驗(yàn)證是啥意思？

大東：舉個(gè)例子，國(guó)內(nèi)很多網(wǎng)絡(luò)服務(wù)，比如購物網(wǎng)站、銀行，在支付的時(shí)候，除了需要你輸入正確的帳號(hào)密碼之外，常常還額外給你發(fā)一條帶有驗(yàn)證碼的手機(jī)短信，以此進(jìn)一步確認(rèn)你是帳號(hào)的真正主人。

小白：噢～原來就是手機(jī)驗(yàn)證碼。

大東：這其實(shí)就是“兩步驗(yàn)證”，或者叫做“雙因素驗(yàn)證”的一種實(shí)現(xiàn)方式，它這里第二步驗(yàn)證是靠手機(jī)短信來發(fā)送驗(yàn)證碼的。而國(guó)外的網(wǎng)絡(luò)服務(wù)還會(huì)使用一種叫“身份驗(yàn)證器”或叫“虛擬MFA”的二步驗(yàn)證方式，它是利用一種“隨時(shí)間變化的驗(yàn)證碼”來取代手機(jī)短信，不僅更安全，而且可離線使用，通用性也更強(qiáng)。

小白：我知道了。兩步驗(yàn)證也是相當(dāng)于給帳號(hào)多加一把“鎖”，在輸入正確的賬號(hào)密碼之后，用戶同樣還需要額外口令才能完成登錄。

大東：是的。所以即使你的帳號(hào)和密碼不慎泄露了，別人在沒有這個(gè)數(shù)字驗(yàn)證碼也是無法登錄你的賬號(hào)的，這可以大大提高破解的難度和帳號(hào)的安全性。所以建議所有能開啟二步驗(yàn)證的重要網(wǎng)絡(luò)帳號(hào)都要全部開啟。

兩步驗(yàn)證（圖片來自網(wǎng)絡(luò)）

3）密碼不要重復(fù)使用

大東：此外，當(dāng)下由于互聯(lián)網(wǎng)蓬勃發(fā)展，每個(gè)人日常需要使用的賬號(hào)密碼越來越多，每個(gè)賬戶都需要設(shè)置密碼。這就帶來一個(gè)問題，很多用戶會(huì)設(shè)計(jì)一個(gè)復(fù)雜密碼，然后在所有登錄入口皆用這同一個(gè)密碼，這里存在著一些潛在的安全隱患。

小白：求指教！

大東：這就是拖庫、買庫。其實(shí)，不管你的密碼是否復(fù)雜，其實(shí)***是不知道的，其一般的攻擊行為是始發(fā)自各大門戶網(wǎng)站、電商平臺(tái)，而不是去掃描偷窺監(jiān)聽你的鍵盤。

小白：怎么做到的？

大東：有兩種手段，一是***攻擊服務(wù)器盜取數(shù)據(jù)，二是內(nèi)鬼販賣數(shù)據(jù)，里應(yīng)外合。

小白：哦，這樣***就能批量盜取一個(gè)平臺(tái)下用戶的賬戶信息，然后再拿這個(gè)密碼去別的平臺(tái)嘗試登錄。

大東：理解得不錯(cuò)！

四、密碼設(shè)置指南

小白：天惹，上個(gè)網(wǎng)真的太難了！

大東：在設(shè)置密碼的時(shí)候應(yīng)該注意符合安全的復(fù)雜性要求。

小白：具體是什么呢？

大東：密碼策略一直是活動(dòng)目錄策略中比較特殊的一個(gè)策略，所謂密碼復(fù)雜性，網(wǎng)站的一般要求會(huì)包括：密碼長(zhǎng)度超過8個(gè)字符，密碼不能包含用戶名或全名的任何部分，密碼必須至少包含英文大寫字母、小寫字母、***數(shù)字、標(biāo)點(diǎn)符號(hào)著4類字符。

小白：這么多賬號(hào)呢，每個(gè)都這么設(shè)，我早就忘記了。

大東：你可以使用密碼管理軟件，保證每個(gè)密碼的安全復(fù)雜度，又能安全保存每個(gè)密碼。

小白：喔～

大東：不過密碼還是要勤更換，最好三個(gè)月能換新密碼。同時(shí)，賬戶也要開啟兩步驗(yàn)證，多一重安全防護(hù)。

小白：get了，這就改密碼去！

參考文獻(xiàn)：

1.荷蘭研究人員猜出特朗普的推特密碼MAGA2020：https://mp.weixin.qq.com/s/8tvPgQH0KQtJFI9mBamxAA

2.什么是兩步驗(yàn)證？怎樣開啟二步驗(yàn)證？好用的身份驗(yàn)證器密碼APP軟件推薦：https://www.iplaysoft.com/two-factor-authentication.html

3.***多次入侵特朗普Twitter賬戶，稱其密碼太簡(jiǎn)單，還發(fā)郵件勸特朗普改密碼：

https://www.thepaper.cn/newsDetail_forward_9807667

4.密碼不符合系統(tǒng)密碼復(fù)雜性策略：https://blog.51cto.com/gnaw0725/30217

5.為什么所有賬號(hào)使用同一個(gè)復(fù)雜密碼會(huì)帶來極大的安全問題？https://zhuanlan.zhihu.com/p/27844352

來源：中國(guó)科學(xué)院計(jì)算技術(shù)研究所