特朗普的推特密碼:maga2020
近日,非營利性組織GDI基金會的安全研究員,荷蘭漏洞披露協會主席Victor Gevers在社交媒體網站上披露了他的發現:
| “親愛的@realDonaldTrump,我多次嘗試通知,您的推特密碼弱爆了。上周五,就像2016年10月那次一樣,我們又猜到了您的密碼。我聯系了@CISAgov、@TeamTrump、@WhiteHouse、@DonaldJTrumpJr和@twittersecurity。但沒有人回應。請啟用2FA(雙因素認證)!” |
在2016年那次“事件”中, Gevers和其他兩個安全人士成功猜到了特朗普的推特賬戶密碼:youarefired(你被解雇了!這也是特朗普當年最廣為人知的一句口頭禪)。
吃一塹長一智,今年特朗普的推特密碼顯然有所強化,正如Gevers猜測的,新密碼“maga2020”(MAGA是特朗普的競選口號,人盡皆知)增加了2020這組無障礙數字。
盡管Twitter發言人表示,“沒有證據證實這一說法”,并且“已針對美國指定的一組與選舉相關的知名度很高的Twitter賬戶,積極實施了賬戶安全措施。”但是荷蘭報紙De Volksrant的一篇報道卻發表了不同意見。
根據報道,Gevers截取了屏幕快照以記錄他的“攻擊”步驟,其中包括四次嘗試失敗,然后才嘗試使用“魔法密碼”并一蹴而就。
雖然Gevers通知的白宮和安全部門沒有人回應,但是第二天,Gevers注意到特朗普的推特賬戶啟用了雙因素身份驗證。兩天后,據報道,Gevers收到了美國特勤局的一封電子郵件,要求提供有關賬戶接管的更多信息,并感謝他暴露了該安全性問題。
“鑒于總統在Twitter上的高頻穩定輸出,他的8700萬追隨者以及他作為自由世界領導人所擁有的絕對力量,使用maga2020這樣直白的密碼非常危險。”ProPrivacy研究人員Andreas Theodorou說道:“實際上,在任何其他年份,我都傾向于認為這是假新聞。”
頗為諷刺的是,本周早些時候,特朗普在亞利桑那州的一次集會上發表了“沒有人會被黑”的言論,成功逗笑了整個網絡安全界。特朗普說:
“沒有人被黑客攻擊。攻擊你的黑客智商至少需要197,而且需要知道你的密碼的15%”。
安全牛評
對于特朗普治國和競選如此重要的推特賬號,居然在曝出重大密碼安全問題四年后依然在使用極為脆弱的密碼并拒絕啟用雙因素甚至多因素認證,這反映了兩大問題。
首先,從特朗普對待口罩和科學防疫,以及黑客和網絡攻擊的態度,我們不難想象經常需要登錄推特的他對雙因素認證會有多么深惡痛絕。此外,特朗普還解散了奧巴馬時代在白宮設立的國家網絡安全委員會機構,辭退了白宮網絡安全高級人才,正如前白宮網絡安全和反恐顧問Paul Kurtz所言:特朗普從來沒有真正關注過網絡安全。
其次,雖然安全界普遍認為雙因素認證(2FA)和多因素認證(MFA)對于提升企業安全防御能力至關重要,但是由于所謂的“安全疲勞“和”業務摩擦“問題,大量實施案例流于形式,虎頭蛇尾。企業安全主管們需要注意與企業高級管理層溝通雙因素認證的常見盲區和誤區,尤其是糾正將MFA等同于“創可貼”和“口罩”的危險看法,要從安全策略和安全文化的高度和深度去克服MFA的推廣阻力。
【本文是51CTO專欄作者“安全牛”的原創文章,轉載請通過安全牛(微信公眾號id:gooann-sectv)獲取授權】
