周二，微軟詳細披露了目前仍在進行中的大規模網絡釣魚活動。即便用戶賬號啟用了多因素身份認證保護措施，該活動依然可以劫持用戶賬戶。自去年 9 月以來，這項活動已針對 10000 個組織進行了攻擊，通過訪問受害者電子郵件賬號來誘騙員工向黑客匯款。

多因素身份驗證（也稱為雙因素身份驗證、MFA 或 2FA）是帳戶安全的黃金標準。除了密碼之外，它還要求帳戶用戶以他們擁有或控制的東西（物理安全密鑰、指紋、面部或視網膜掃描）的形式證明他們的身份。MFA 技術的廣泛使用增加了攻擊難度，但攻擊者已經找到了反擊的方法。

微軟觀察到一個活動，該活動在帳戶用戶和他們嘗試登錄的工作服務器之間插入了一個攻擊者控制的代理站點。當用戶向代理站點輸入密碼時，代理站點將其發送到真實服務器，然后將真實服務器的響應轉發回用戶。身份驗證完成后，攻擊者竊取了合法站點發送的會話 cookie，因此用戶無需在訪問每個新頁面時都重新進行身份驗證。該活動始于一封帶有指向代理服務器的 HTML 附件的網絡釣魚電子郵件。

釣魚網站攔截身份驗證過程。

在一篇博文中，Microsoft 365 Defender 研究團隊的成員和微軟威脅情報中心寫道：“根據我們的觀察，在首次登錄網絡釣魚站點的被盜帳戶后，攻擊者使用被盜的會話 cookie 對 Outlook 在線 (outlook.Office.com) 進行身份驗證。在多種情況下，cookie 都有 MFA 聲明，這意味著即使組織有 MFA 策略，攻擊者也會使用會話 cookie 代表受感染的帳戶獲得訪問權限”。

在 cookie 被盜后的幾天里，威脅行為者訪問了員工的電子郵件帳戶并尋找用于商業電子郵件泄露詐騙的消息，這會欺騙目標將大筆資金匯入他們認為屬于同事或業務合作伙伴的帳戶。攻擊者使用這些電子郵件線程和被黑員工的偽造身份來說服對方付款。

為了防止被黑員工發現漏洞，威脅參與者創建了收件箱規則，自動將特定電子郵件移動到存檔文件夾并將其標記為已讀。在接下來的幾天里，攻擊者定期登錄以檢查新電子郵件。

該博客文章顯示了員工很容易陷入此類騙局。大量的電子郵件和工作量通常使我們很難知道消息何時是真實的。使用 MFA 已經表明用戶或組織正在實施良好的安全衛生。騙局中為數不多的視覺可疑元素之一是代理站點登錄頁面中使用的域名。盡管如此，鑒于大多數組織特定登錄頁面的不透明性，即使是粗略的域名也可能會讓人中招。

、某國領導人推特密碼被猜中

小白：大東東～看新聞了嗎？某國領導人的密碼被破解了！

大東：嗯，準確地說是密碼被猜中了！

小白：沒想到這個擁有8700萬粉絲的推特賬戶使用的密碼竟然如此簡單，“MAGA2020”——“讓美國再次強大”（Make America Great Again）。

大東：某國領導人的個人推特賬戶自他2017年1月就任總統以來，就一直非常活躍，但也數次爆出密碼被安全研究員猜中。

小白：某國領導人的推特賬號，這也太不小心了。

大東：不僅如此，猜中密碼的研究人員還透露，某國領導人沒有為此賬戶啟用兩步驗證。也就是說，猜出密碼的任何人都能夠登錄帳戶、做出更改、發送自己想推的任何言論。

小白：太危險了！

某國領導人的推特賬號（圖片來自網絡）

二、大話始末

大東：其實，這已經不是黑客第一次黑進他的Twitter賬戶了。

小白：哦？

大東：第一次是在四年前，在2016年大選前夕，三名黑客聯手檢索了他的密碼并進入了他的賬戶。

小白：時間點都很相似呢！

大東：是的，同樣距離總統選舉只有三周的時間，俄羅斯和伊朗也有黑客入侵成功。

小白：他的推特賬戶簡直是全球黑客的共同靶子呀！

大東：入侵的黑客Gevers表示，攻擊特朗普賬戶的原因與競選對手的報道有關，他兒子的一個硬盤被黑客入侵，原因正是拜登使用了一個容易被猜到的密碼（Hunter02）。

小白：哈哈，所以Gevers還想檢查下Twitter認證賬戶的安全性咯～

大東：他本人表示，他的工作就是尋找安全漏洞。

小白：黑客也是為總統的密碼安全操碎了心啊～

大東：出于良好的意圖，Gevers之后給某國領導人發提醒郵件，建議他采取額外的安全措施，或者使用一個稍微長一點的密碼。

小白：好奇他們會不會采納一個黑客的建議～

大東：善意且有用的建議都應該被考慮采納。

三、密碼安全性

1）賬戶密碼簡單得驚人

大東：問題的主要原因是賬戶設置的密碼過于簡單，這回他被猜中的密碼是他在2016年大選中使用的競選口號的縮寫，具有一定的意義和個人標志，因此很容易被他人猜中。

小白：我知道～這就和我把生日日期設成銀行密碼是一個道理。

大東：請問你的生日是什么時候？

小白：哼，我可不會傻到說出來！

大東：由于密碼設置過于簡單，入侵者甚至只用5次嘗試就猜中了。就算用戶想使用具有個人特征的語句作為密碼，也應該考慮設置得復雜一些。比如某國領導人的弱密碼可以升級成：“!IWillMakeAmericaGreatAgain2020!”（我要讓美國再次回到2020年！）

小白：這年頭設個密碼也真難啊～

2）激活兩步驗證

大東：其實，賬戶的兩步驗證也是一道重要安全保障。

小白：兩步驗證是啥意思？

大東：舉個例子，國內很多網絡服務 ，比如購物網站、銀行，在支付的時候，除了需要你輸入正確的帳號密碼之外，常常還額外給你發一條帶有驗證碼的手機短信，以此進一步確認你是帳號的真正主人。

小白：噢～原來就是手機驗證碼。

大東：這其實就是“兩步驗證”，或者叫做“雙因素驗證”的一種實現方式，它這里第二步驗證是靠手機短信來發送驗證碼的。而國外的網絡服務還會使用一種叫“身份驗證器”或叫“虛擬 MFA”的二步驗證方式，它是利用一種“隨時間變化的驗證碼”來取代手機短信，不僅更安全，而且可離線使用，通用性也更強。

小白：我知道了。兩步驗證也是相當于給帳號多加一把“鎖”，在輸入正確的賬號密碼之后，用戶同樣還需要額外口令才能完成登錄。

大東：是的。所以即使你的帳號和密碼不慎泄露了，別人在沒有這個數字驗證碼也是無法登錄你的賬號的，這可以大大提高破解的難度和帳號的安全性。所以建議所有能開啟二步驗證的重要網絡帳號都要全部開啟。

兩步驗證（圖片來自網絡）

3）密碼不要重復使用

大東：此外，當下由于互聯網蓬勃發展，每個人日常需要使用的賬號密碼越來越多，每個賬戶都需要設置密碼。這就帶來一個問題，很多用戶會設計一個復雜密碼，然后在所有登錄入口皆用這同一個密碼，這里存在著一些潛在的安全隱患。

小白：求指教！

大東：這就是拖庫、買庫。其實，不管你的密碼是否復雜，其實黑客是不知道的，其一般的攻擊行為是始發自各大門戶網站、電商平臺，而不是去掃描偷窺監聽你的鍵盤。

小白：怎么做到的？

大東：有兩種手段，一是黑客攻擊服務器盜取數據，二是內鬼販賣數據，里應外合。

小白：哦，這樣黑客就能批量盜取一個平臺下用戶的賬戶信息，然后再拿這個密碼去別的平臺嘗試登錄。

大東：理解得不錯！

四、密碼設置指南

小白：天惹，上個網真的太難了！

大東：在設置密碼的時候應該注意符合安全的復雜性要求。

小白：具體是什么呢？

大東：密碼策略一直是活動目錄策略中比較特殊的一個策略，所謂密碼復雜性，網站的一般要求會包括：密碼長度超過8個字符，密碼不能包含用戶名或全名的任何部分，密碼必須至少包含英文大寫字母、小寫字母、阿拉伯數字、標點符號著4類字符。

小白：這么多賬號呢，每個都這么設，我早就忘記了。

大東：你可以使用密碼管理軟件，保證每個密碼的安全復雜度，又能安全保存每個密碼。

小白：喔～

大東：不過密碼還是要勤更換，最好三個月能換新密碼。同時，賬戶也要開啟兩步驗證，多一重安全防護。

小白：get了，這就改密碼去！

參考文獻：

1. 荷蘭研究人員猜出特朗普的推特密碼MAGA2020：https://mp.weixin.qq.com/s/8tvPgQH0KQtJFI9mBamxAA

2. 什么是兩步驗證？怎樣開啟二步驗證？好用的身份驗證器密碼 APP 軟件推薦：https://www.iplaysoft.com/two-factor-authentication.html

3. 黑客多次入侵特朗普Twitter賬戶，稱其密碼太簡單，還發郵件勸特朗普改密碼：

https://www.thepaper.cn/newsDetail_forward_9807667

4. 密碼不符合系統密碼復雜性策略：https://blog.51cto.com/gnaw0725/30217

5. 為什么所有賬號使用同一個復雜密碼會帶來極大的安全問題？https://zhuanlan.zhihu.com/p/27844352

來源：中國科學院計算技術研究所

人說，現在是密碼的時代，因為密碼幾乎無處不在，但是密碼在給我們安全保障的同時，卻又帶了一個尷尬的問題：一旦密碼丟失或被盜，會給我們帶來很多的麻煩。因此，如何提升防護安全變得尤為重要。今天教大家幾個簡單的方法進一步提升密碼防護安全。

介 紹

Ubiquiti 設備作為基礎的網絡設備經常會被惡意軟件攻擊。大多數情況下被利用攻擊的客戶端通常都是使用了默認密碼，和賬號相同的密碼以及弱密碼。而我們使用一種簡單的措施就能避免此類攻擊：唯一和隨機（強）密碼。

密碼設置

密碼的強弱是指一個密碼對抗猜測或是暴力破解的有效程度。強密碼可以降低安全漏洞的整體風險。一般我們會遵從一下幾點設置密碼。

1. 盡量使用長密碼。據統計常用鍵一共為 95 個，一個隨機長度的密碼一共有 95^X 種組合，是不可能在段時間內通過全部列舉來破譯的。NIST（美國國家標準與技術研究院）根據研究表明一個足夠長有意義的密碼也會優于較短的復雜密碼（字母、數字和符號的組合）。Ubiquiti 建議使用 8 位以上密碼。

2. 盡量使用完全沒有規律的大小寫字母、數字和符號的組合。完全沒有規律即沒有連續性，即使使用 Shift 按 1234 也不如 1983 來的好使。并且增加一些隨機字符串能立即給密碼增加復雜度。

3.盡量為每個設備設置不同的密碼。如果一個管理員要同事管理 100 個設備，為了方便記憶通常會設置 100 個相同的密碼。這樣會導致一個嚴重的問題，如果網絡中的某個設備受到攻擊，其余的 99 個設備也將淪為這一次攻擊的犧牲品。

4.盡量定期修改密碼（請完全更改）。根據英國國家網絡安全中的研究表明“盡管大多數網絡管理者會強迫用戶定期更換密碼，但是這通常會讓用戶覺得是個負擔，因此一部分用戶設置的新密碼和舊密碼的變化會非常微小。但是這樣做對于盜密者而言幾乎沒有增加什么困難。” 因此我們建議在修改密碼的使用避免使用相同的密碼，也不要僅僅修改最后兩位數。更改密碼時，請完全更改。

5.使用密碼管理器。2005 年的安全會議上，微軟專家提到“如果我有 68 個不同密碼，我將如何管理？寫下來或者是不得不使用同樣的密碼。” 然而不管是將密碼通過便利貼黏貼在客戶端外面還是使用相同密碼都是最容易泄密的舉動。我們建議您在管理多個密碼的時候可以使用密碼管理器。常見密碼管理器有：LastPass，Dashlane 和 1Password。

Ubiquiti 賬戶僅存儲通過 hash 和 salte 加密后的值，不存儲用戶的密碼，即使遭遇攻擊從技術上盜密者也幾乎無法獲得正確密碼。

此外另一個解決這類安全問題的辦法就是啟用“雙因素認證（2FA）”功能，兩步驗證是在傳統密碼驗證的同時，增加了其他的驗證方式。

雙因素認證（2FA）

雙因素認證（英語：Two-factor authentication，縮寫為 2FA），又譯為雙重驗證、雙因子認證、雙因素認證、二元認證，又稱兩步驗證（2-Step Verification），是多重要素驗證中的一個特例，使用兩種不同的元素，合并在一起，來確認用戶的身份。

雙因素認證 一般來說，三種不同類型的證據，可以證明一個人的身份。

秘密信息：只有該用戶知道、其他人不知道的某種信息，比如密碼。

個人物品：該用戶的私人物品，比如身份證、鑰匙。

生理特征：該用戶的遺傳特征，比如指紋、相貌、虹膜等等。

這些證據就稱為三種"因素"（factor）。因素越多，證明力就越強，身份就越可靠。常見的使用密碼登錄的方式，是典型的單因素認證。與之相對，使用 兩種/多種 因素對登陸嘗試進行驗證的方案，就叫做 雙/多 因素驗證。

雙因素認證的幾個例子：

銀行卡：用戶需要同時提供銀行卡+密碼，才能取得現金。

淘寶購物：淘寶賬戶密碼+手機驗證碼，完成大于200元的購物。

為什么要使用 雙因素認證（2FA）

2FA 的優點在于可以給段純的密碼登陸加一道保障。即使密碼泄露，只要手機還在，賬戶就是安全的。各種密碼破解對于 2FA 也是無效的。它保護了最常發生的一個安全問題。

如何啟用雙因素認證（2FA）

本文以 Google Authenticator（ Google 身份驗證器）為例。

1.下載 Google Authenticator （ Google 身份驗證器）并將其安裝到您的手機中。

2. 轉到 https://account.ui.com 并登錄。

3. 從左側菜單中選擇安全性。在這個菜單中，您可以更改帳戶密碼和登陸超時期限以及啟用雙因素認證。

4. 單擊切換啟用雙因素認證。將彈出一個小的彈出窗口，其下方帶有 QR 碼和神秘代碼。

注意：

請將神秘代碼妥善保管。如果你更換手機或者誤刪身份驗證器，再次使用此功能可以幫助您重啟賬戶。

5.打開手機上的 Google Authenticator 應用，點擊菜單，然后點擊 開始設置——掃描條形碼。如果您已經有其他帳戶，則可以單擊右上角的加號（+） ，然后 單擊“掃描條形碼”。

6.通過手機的“掃描”功能。掃描顯示在 account.ui.com 彈出窗口中的 QR 碼。

7.在彈出窗口中輸入 Google Authenticator 提供的 6 位數身份驗證令牌。

8.點擊 提交。

如何創建備份驗證碼

啟用 雙因素認證后，創建一組備份驗證碼非常重要。如果您因某種原因無法訪問身份驗證器應用程序（例如丟失了手機），這些驗證碼將允許您解鎖帳戶以禁用雙因素認證。

1.登錄到 https://account.ui.com ， 輸入用戶名，密碼和 6 位數的身份驗證令牌，登陸您的帳戶設置。

2.轉到安全菜單。

3.在“雙因素認證”標題下，提供 Google Authenticator 應用提供的雙因素認證令牌，然后點擊生成新的備用驗證碼。

注意：生成新的備份驗證碼會使以前生成的所有備份驗證碼都過時。

4.系統會為您提供 10 個備用驗證碼的列表，請將其復制到安全的地方。如果有可能某人獲得了您的驗證碼的訪問權，請生成新驗證碼以使那些受到威脅的驗證碼過時。如果您無法訪問雙因素認證，則只需使用一個 未使用的 備份驗證碼。

如何禁用雙因素認證（2FA）

1.轉到 https://account.ui.com 并登錄。

2.從菜單中選擇安全性。

3.在“雙因素認證”標題下，單擊“ 禁用雙因素認證”切換

4.在手機上使用 Google Authenticator 獲取令牌，以將其填入到提供的字段中。

5.點擊提交。

如何訪問鎖定的帳戶

如果您由于更換手機，誤刪身份驗證器應用程序或丟失手機而被鎖定帳戶，則可以使用以下一種方法再次訪問您的帳戶。

使用備份驗證碼重置雙因素認證 2FA

1. 轉到https://account.ui.com，照常輸入您的用戶名和密碼，并在提示您輸入 6 位數字令牌時，改為單擊 重置 2FA。

2. 現在，只需粘貼先前保存的備份驗證碼之一，然后單擊“ 重置 2FA” 按鈕。

3. 現在禁用了雙因素認證。單擊上一步以使用用戶名和密碼登錄，然后按照以下步驟再次啟用它。記住要創建一組新的備份驗證碼。

注意：

此 Google 兩步驗證幫助文章 中討論了其他可能的問題和解決方案。如果您在第一次啟用 2FA 時失去了對帳戶的訪問權限，但未生成備份驗證碼或保存了神秘代碼，并且以上鏈接中的解決方案均無幫助，請通過已注冊的電子郵件與support@ui.com 聯系在您的 Ubiquiti 帳戶上，并要求他們重置 2FA。

參考資料：

[1].https://www.quikteks.com/blog/some-interesting-stats-on-two-factor-authentication/

[2].https://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html

[3]重劍.開啟兩步驗證 保護個人隱私[J].電腦愛好者,2014(20):54-55.

[4]萬立夫.啟用兩步驗證 保護個人信息安全[J].電腦迷,2013(09):50.

[5]夏勇峰.密碼被盜?沒事! 雙因子認證將減輕密碼失竊問題[J].信息系統工程,2007(04):65.