近日,非营利组织GDI基金会安全研究员、荷兰漏洞披露协会主席VictorGevers在社交媒体网站上披露了他的发现:“亲爱的@realDonaldTrump,我多次通知尝试,你的推特密码很弱。上周五,就像2016年10月一样,我们再次猜到了您的密码。我联系了@CISAgov、@TeamTrump、@WhiteHouse、@DonaldJTrumpJr和@twittersecurity。但没有人回应。Pleaseenable2FA(two-factorauthentication)!”在2016年的那场“事件”中,Gevers和另外两名安全人员成功猜出了特朗普推特账号的密码:youarefired(你被解雇了!这是特朗普最著名的口号之一回到当天)。今年,特朗普的推特密码明显加强了。正如Gevers猜测的那样,新密码“maga2020”(MAGA是特朗普的竞选口号,大家都知道)增加了2020组的可访问数字。而推特发言人表示,“没有证据证实这一说法”,并且“已针对美国指定的一组备受瞩目的选举相关推特账户积极实施账户安全措施。”该报道表达了不同意见。据报道,Gevers截屏记录了他的“攻击”步骤,其中包括四次失败的尝试,然后尝试使用“魔术代码”并一举击中它。虽然没有人来自WhiteHGevers通知的用户或安全服务作出回应,第二天Gevers注意到特朗普的Twitter帐户启用了双因素身份验证。两天后,据报道Gevers收到了一封来自美国特勤局的电子邮件,要求提供有关帐户接管的更多信息,并感谢他揭露安全问题。“鉴于总统在推特上的高频和稳定输出,他的8700万粉丝,以及他作为自由世界领袖所拥有的绝对权力,使用像maga2020这样生硬的密码是危险的。“实际上,在任何其他年份,我都倾向于认为这是假新闻,”ProPrivacy的研究员安德烈亚斯西奥多罗说。具有讽刺意味的是,特朗普本周早些时候在亚利桑那州的一次集会上发表了“没有人会被黑客攻击”的言论,成功地逗乐了整个网络安全社区。特朗普说:“没有人会被黑客攻击。攻击你的黑客至少需要197的智商,并且需要知道你15%的密码。”SecurityNiuReview这个对特朗普的执政和竞选举足轻重的推特账号,在重大密码安全问题曝光四年后仍然开放,使用极弱密码和拒绝启用双因素甚至多因素认证,反映出两大问题。首先,从特朗普对口罩和科学防疫的态度,以及对黑客和网络攻击的态度,不难想象,经常需要登录推特,令人惊讶的是,他对双因素认证的厌恶程度。另外之后,特朗普还解散了奥巴马时代在白宫成立的国家网络安全委员会,并解雇了白宫高级网络安全人员,就像前白宫网络安全和反恐顾问保罗库尔茨一样。:Trump从来没有真正关注过网络安全其次,虽然安全界普遍认为双因素认证(2FA)和multi-f演员认证(MFA)对于提升企业安全防御能力至关重要,由于所谓的“安全疲劳”和“业务摩擦”问题,大量实施案例流于形式,虎头蛇尾。企业安全主管需要注意与企业高层沟通双因素认证的常见盲点和误区,尤其要纠正MFA等同于“创可贴”和“面具”的危险观点,必须克服从安全战略和安全文化的高度和深度提升MFA的阻力。【本文为专栏作者“安全牛”原创文章,转载请通过安全牛(微信♂id:gooann-sectv)获取授权】戳这里查看作者更多好文
