近日，非營利性組織GDI基金會的安全研究員，荷蘭漏洞披露協(xié)會主席Victor Gevers在社交媒體網(wǎng)站上披露了他的發(fā)現(xiàn)：

[[348506]]

在2016年那次“事件”中， Gevers和其他兩個安全人士成功猜到了特朗普的推特賬戶密碼：youarefired(你被解雇了!這也是特朗普當(dāng)年最廣為人知的一句口頭禪)。

吃一塹長一智，今年特朗普的推特密碼顯然有所強化，正如Gevers猜測的，新密碼“maga2020”(MAGA是特朗普的競選口號，人盡皆知)增加了2020這組無障礙數(shù)字。

盡管Twitter發(fā)言人表示，“沒有證據(jù)證實這一說法”，并且“已針對美國指定的一組與選舉相關(guān)的知名度很高的Twitter賬戶，積極實施了賬戶安全措施。”但是荷蘭報紙De Volksrant的一篇報道卻發(fā)表了不同意見。

根據(jù)報道，Gevers截取了屏幕快照以記錄他的“攻擊”步驟，其中包括四次嘗試失敗，然后才嘗試使用“魔法密碼”并一蹴而就。

雖然Gevers通知的白宮和安全部門沒有人回應(yīng)，但是第二天，Gevers注意到特朗普的推特賬戶啟用了雙因素身份驗證。兩天后，據(jù)報道，Gevers收到了美國特勤局的一封電子郵件，要求提供有關(guān)賬戶接管的更多信息，并感謝他暴露了該安全性問題。

“鑒于總統(tǒng)在Twitter上的高頻穩(wěn)定輸出，他的8700萬追隨者以及他作為自由世界領(lǐng)導(dǎo)人所擁有的絕對力量，使用maga2020這樣直白的密碼非常危險。”ProPrivacy研究人員Andreas Theodorou說道：“實際上，在任何其他年份，我都傾向于認(rèn)為這是假新聞。”

頗為諷刺的是，本周早些時候，特朗普在亞利桑那州的一次集會上發(fā)表了“沒有人會被黑”的言論，成功逗笑了整個網(wǎng)絡(luò)安全界。特朗普說：

“沒有人被黑客攻擊。攻擊你的黑客智商至少需要197，而且需要知道你的密碼的15%”。

安全牛評

對于特朗普治國和競選如此重要的推特賬號，居然在曝出重大密碼安全問題四年后依然在使用極為脆弱的密碼并拒絕啟用雙因素甚至多因素認(rèn)證，這反映了兩大問題。

首先，從特朗普對待口罩和科學(xué)防疫，以及黑客和網(wǎng)絡(luò)攻擊的態(tài)度，我們不難想象經(jīng)常需要登錄推特的他對雙因素認(rèn)證會有多么深惡痛絕。此外，特朗普還解散了奧巴馬時代在白宮設(shè)立的國家網(wǎng)絡(luò)安全委員會機(jī)構(gòu)，辭退了白宮網(wǎng)絡(luò)安全高級人才，正如前白宮網(wǎng)絡(luò)安全和反恐顧問Paul Kurtz所言：特朗普從來沒有真正關(guān)注過網(wǎng)絡(luò)安全。

其次，雖然安全界普遍認(rèn)為雙因素認(rèn)證(2FA)和多因素認(rèn)證(MFA)對于提升企業(yè)安全防御能力至關(guān)重要，但是由于所謂的“安全疲勞“和”業(yè)務(wù)摩擦“問題，大量實施案例流于形式，虎頭蛇尾。企業(yè)安全主管們需要注意與企業(yè)高級管理層溝通雙因素認(rèn)證的常見盲區(qū)和誤區(qū)，尤其是糾正將MFA等同于“創(chuàng)可貼”和“口罩”的危險看法，要從安全策略和安全文化的高度和深度去克服MFA的推廣阻力。

【本文是51CTO專欄作者“安全牛”的原創(chuàng)文章，轉(zhuǎn)載請通過安全牛（微信公眾號id:gooann-sectv）獲取授權(quán)】

戳這里，看該作者更多好文