一、某國領(lǐng)導人推特密碼被猜中

小白：大東東～看新聞了嗎？某國領(lǐng)導人的密碼被破解了！

大東：嗯，準確地說是密碼被猜中了！

小白：沒想到這個擁有8700萬粉絲的推特賬戶使用的密碼竟然如此簡單，“MAGA2020”——“讓美國再次強大”（MakeAmericaGreatAgain）。

大東：某國領(lǐng)導人的個人推特賬戶自他2017年1月就任總統(tǒng)以來，就一直非常活躍，但也數(shù)次爆出密碼被安全研究員猜中。

小白：某國領(lǐng)導人的推特賬號，這也太不小心了。

大東：不僅如此，猜中密碼的研究人員還透露，某國領(lǐng)導人沒有為此賬戶啟用兩步驗證。也就是說，猜出密碼的任何人都能夠登錄帳戶、做出更改、發(fā)送自己想推的任何言論。

小白：太危險了！

某國領(lǐng)導人的推特賬號（圖片來自網(wǎng)絡(luò)）

二、大話始末

大東：其實，這已經(jīng)不是***第一次黑進他的Twitter賬戶了。

小白：哦？

大東：第一次是在四年前，在2016年大選前夕，三名***聯(lián)手檢索了他的密碼并進入了他的賬戶。

小白：時間點都很相似呢！

大東：是的，同樣距離總統(tǒng)選舉只有三周的時間，俄羅斯和伊朗也有***入侵成功。

小白：他的推特賬戶簡直是全球***的共同靶子呀！

大東：入侵的***Gevers表示，攻擊特朗普賬戶的原因與競選對手的報道有關(guān)，他兒子的一個硬盤被***入侵，原因正是拜登使用了一個容易被猜到的密碼（Hunter02）。

小白：哈哈，所以Gevers還想檢查下Twitter認證賬戶的安全性咯～

大東：他本人表示，他的工作就是尋找安全漏洞。

小白：***也是為總統(tǒng)的密碼安全操碎了心啊～

大東：出于良好的意圖，Gevers之后給某國領(lǐng)導人發(fā)提醒郵件，建議他采取額外的安全措施，或者使用一個稍微長一點的密碼。

小白：好奇他們會不會采納一個***的建議～

大東：善意且有用的建議都應(yīng)該被考慮采納。

三、密碼安全性

1）賬戶密碼簡單得驚人

大東：問題的主要原因是賬戶設(shè)置的密碼過于簡單，這回他被猜中的密碼是他在2016年大選中使用的競選口號的縮寫，具有一定的意義和個人標志，因此很容易被他人猜中。

小白：我知道～這就和我把生日日期設(shè)成銀行密碼是一個道理。

大東：請問你的生日是什么時候？

小白：哼，我可不會傻到說出來！

大東：由于密碼設(shè)置過于簡單，入侵者甚至只用5次嘗試就猜中了。就算用戶想使用具有個人特征的語句作為密碼，也應(yīng)該考慮設(shè)置得復(fù)雜一些。比如某國領(lǐng)導人的弱密碼可以升級成：“!IWillMakeAmericaGreatAgain2020!”（我要讓美國再次回到2020年！）

小白：這年頭設(shè)個密碼也真難啊～

2）激活兩步驗證

大東：其實，賬戶的兩步驗證也是一道重要安全保障。

小白：兩步驗證是啥意思？

大東：舉個例子，國內(nèi)很多網(wǎng)絡(luò)服務(wù)，比如購物網(wǎng)站、銀行，在支付的時候，除了需要你輸入正確的帳號密碼之外，常常還額外給你發(fā)一條帶有驗證碼的手機短信，以此進一步確認你是帳號的真正主人。

小白：噢～原來就是手機驗證碼。

大東：這其實就是“兩步驗證”，或者叫做“雙因素驗證”的一種實現(xiàn)方式，它這里第二步驗證是靠手機短信來發(fā)送驗證碼的。而國外的網(wǎng)絡(luò)服務(wù)還會使用一種叫“身份驗證器”或叫“虛擬MFA”的二步驗證方式，它是利用一種“隨時間變化的驗證碼”來取代手機短信，不僅更安全，而且可離線使用，通用性也更強。

小白：我知道了。兩步驗證也是相當于給帳號多加一把“鎖”，在輸入正確的賬號密碼之后，用戶同樣還需要額外口令才能完成登錄。

大東：是的。所以即使你的帳號和密碼不慎泄露了，別人在沒有這個數(shù)字驗證碼也是無法登錄你的賬號的，這可以大大提高破解的難度和帳號的安全性。所以建議所有能開啟二步驗證的重要網(wǎng)絡(luò)帳號都要全部開啟。

兩步驗證（圖片來自網(wǎng)絡(luò)）

3）密碼不要重復(fù)使用

大東：此外，當下由于互聯(lián)網(wǎng)蓬勃發(fā)展，每個人日常需要使用的賬號密碼越來越多，每個賬戶都需要設(shè)置密碼。這就帶來一個問題，很多用戶會設(shè)計一個復(fù)雜密碼，然后在所有登錄入口皆用這同一個密碼，這里存在著一些潛在的安全隱患。

小白：求指教！

大東：這就是拖庫、買庫。其實，不管你的密碼是否復(fù)雜，其實***是不知道的，其一般的攻擊行為是始發(fā)自各大門戶網(wǎng)站、電商平臺，而不是去掃描偷窺監(jiān)聽你的鍵盤。

小白：怎么做到的？

大東：有兩種手段，一是***攻擊服務(wù)器盜取數(shù)據(jù)，二是內(nèi)鬼販賣數(shù)據(jù)，里應(yīng)外合。

小白：哦，這樣***就能批量盜取一個平臺下用戶的賬戶信息，然后再拿這個密碼去別的平臺嘗試登錄。

大東：理解得不錯！

四、密碼設(shè)置指南

小白：天惹，上個網(wǎng)真的太難了！

大東：在設(shè)置密碼的時候應(yīng)該注意符合安全的復(fù)雜性要求。

小白：具體是什么呢？

大東：密碼策略一直是活動目錄策略中比較特殊的一個策略，所謂密碼復(fù)雜性，網(wǎng)站的一般要求會包括：密碼長度超過8個字符，密碼不能包含用戶名或全名的任何部分，密碼必須至少包含英文大寫字母、小寫字母、***數(shù)字、標點符號著4類字符。

小白：這么多賬號呢，每個都這么設(shè)，我早就忘記了。

大東：你可以使用密碼管理軟件，保證每個密碼的安全復(fù)雜度，又能安全保存每個密碼。

小白：喔～

大東：不過密碼還是要勤更換，最好三個月能換新密碼。同時，賬戶也要開啟兩步驗證，多一重安全防護。

小白：get了，這就改密碼去！

參考文獻：

1.荷蘭研究人員猜出特朗普的推特密碼MAGA2020：https://mp.weixin.qq.com/s/8tvPgQH0KQtJFI9mBamxAA

2.什么是兩步驗證？怎樣開啟二步驗證？好用的身份驗證器密碼APP軟件推薦：https://www.iplaysoft.com/two-factor-authentication.html

3.***多次入侵特朗普Twitter賬戶，稱其密碼太簡單，還發(fā)郵件勸特朗普改密碼：

https://www.thepaper.cn/newsDetail_forward_9807667

4.密碼不符合系統(tǒng)密碼復(fù)雜性策略：https://blog.51cto.com/gnaw0725/30217

5.為什么所有賬號使用同一個復(fù)雜密碼會帶來極大的安全問題？https://zhuanlan.zhihu.com/p/27844352

來源：中國科學院計算技術(shù)研究所