近日,非营利性组织GDI基金会的安全研究员,荷兰漏洞披露协会主席Victor Gevers在社交媒体网站上披露了他的发现:
“亲爱的@realDonaldTrump,我多次尝试通知,您的推特密码弱爆了。上周五,就像2016年10月那次一样,我们又猜到了您的密码。我联系了@CISAgov、@TeamTrump、@WhiteHouse、@DonaldJTrumpJr和@twittersecurity。但没有人回应。请启用2FA(双因素认证)!” |
在2016年那次“事件”中, Gevers和其他两个安全人士成功猜到了特朗普的推特账户密码:youarefired(你被解雇了!这也是特朗普当年最广为人知的一句口头禅)。
吃一堑长一智,今年特朗普的推特密码显然有所强化,正如Gevers猜测的,新密码“maga2020”(MAGA是特朗普的竞选口号,人尽皆知)增加了2020这组无障碍数字。
尽管Twitter发言人表示,“没有证据证实这一说法”,并且“已针对美国指定的一组与选举相关的知名度很高的Twitter账户,积极实施了账户安全措施。”但是荷兰报纸De Volksrant的一篇报道却发表了不同意见。
根据报道,Gevers截取了屏幕快照以记录他的“攻击”步骤,其中包括四次尝试失败,然后才尝试使用“魔法密码”并一蹴而就。
虽然Gevers通知的白宫和安全部门没有人回应,但是第二天,Gevers注意到特朗普的推特账户启用了双因素身份验证。两天后,据报道,Gevers收到了美国特勤局的一封电子邮件,要求提供有关账户接管的更多信息,并感谢他暴露了该安全性问题。
“鉴于总统在Twitter上的高频稳定输出,他的8700万追随者以及他作为自由世界领导人所拥有的绝对力量,使用maga2020这样直白的密码非常危险。”ProPrivacy研究人员Andreas Theodorou说道:“实际上,在任何其他年份,我都倾向于认为这是假新闻。”
颇为讽刺的是,本周早些时候,特朗普在亚利桑那州的一次集会上发表了“没有人会被黑”的言论,成功逗笑了整个网络安全界。特朗普说:
“没有人被黑客攻击。攻击你的黑客智商至少需要197,而且需要知道你的密码的15%”。
安全牛评
对于特朗普治国和竞选如此重要的推特账号,居然在曝出重大密码安全问题四年后依然在使用极为脆弱的密码并拒绝启用双因素甚至多因素认证,这反映了两大问题。
首先,从特朗普对待口罩和科学防疫,以及黑客和网络攻击的态度,我们不难想象经常需要登录推特的他对双因素认证会有多么深恶痛绝。此外,特朗普还解散了奥巴马时代在白宫设立的国家网络安全委员会机构,辞退了白宫网络安全高级人才,正如前白宫网络安全和反恐顾问Paul Kurtz所言:特朗普从来没有真正关注过网络安全。
其次,虽然安全界普遍认为双因素认证(2FA)和多因素认证(MFA)对于提升企业安全防御能力至关重要,但是由于所谓的“安全疲劳“和”业务摩擦“问题,大量实施案例流于形式,虎头蛇尾。企业安全主管们需要注意与企业高级管理层沟通双因素认证的常见盲区和误区,尤其是纠正将MFA等同于“创可贴”和“口罩”的危险看法,要从安全策略和安全文化的高度和深度去克服MFA的推广阻力。
【本文是51CTO专栏作者“安全牛”的原创文章,转载请通过安全牛(微信公众号id:gooann-sectv)获取授权】