周二，微软详细披露了目前仍在进行中的大规模网络钓鱼活动。即便用户账号启用了多因素身份认证保护措施，该活动依然可以劫持用户账户。自去年 9 月以来，这项活动已针对 10000 个组织进行了攻击，通过访问受害者电子邮件账号来诱骗员工向黑客汇款。

多因素身份验证（也称为双因素身份验证、MFA 或 2FA）是帐户安全的黄金标准。除了密码之外，它还要求帐户用户以他们拥有或控制的东西（物理安全密钥、指纹、面部或视网膜扫描）的形式证明他们的身份。MFA 技术的广泛使用增加了攻击难度，但攻击者已经找到了反击的方法。

微软观察到一个活动，该活动在帐户用户和他们尝试登录的工作服务器之间插入了一个攻击者控制的代理站点。当用户向代理站点输入密码时，代理站点将其发送到真实服务器，然后将真实服务器的响应转发回用户。身份验证完成后，攻击者窃取了合法站点发送的会话 cookie，因此用户无需在访问每个新页面时都重新进行身份验证。该活动始于一封带有指向代理服务器的 HTML 附件的网络钓鱼电子邮件。

钓鱼网站拦截身份验证过程。

在一篇博文中，Microsoft 365 Defender 研究团队的成员和微软威胁情报中心写道：“根据我们的观察，在首次登录网络钓鱼站点的被盗帐户后，攻击者使用被盗的会话 cookie 对 Outlook 在线 (outlook.Office.com) 进行身份验证。在多种情况下，cookie 都有 MFA 声明，这意味着即使组织有 MFA 策略，攻击者也会使用会话 cookie 代表受感染的帐户获得访问权限”。

在 cookie 被盗后的几天里，威胁行为者访问了员工的电子邮件帐户并寻找用于商业电子邮件泄露诈骗的消息，这会欺骗目标将大笔资金汇入他们认为属于同事或业务合作伙伴的帐户。攻击者使用这些电子邮件线程和被黑员工的伪造身份来说服对方付款。

为了防止被黑员工发现漏洞，威胁参与者创建了收件箱规则，自动将特定电子邮件移动到存档文件夹并将其标记为已读。在接下来的几天里，攻击者定期登录以检查新电子邮件。

该博客文章显示了员工很容易陷入此类骗局。大量的电子邮件和工作量通常使我们很难知道消息何时是真实的。使用 MFA 已经表明用户或组织正在实施良好的安全卫生。骗局中为数不多的视觉可疑元素之一是代理站点登录页面中使用的域名。尽管如此，鉴于大多数组织特定登录页面的不透明性，即使是粗略的域名也可能会让人中招。

、某国领导人推特密码被猜中

小白：大东东～看新闻了吗？某国领导人的密码被破解了！

大东：嗯，准确地说是密码被猜中了！

小白：没想到这个拥有8700万粉丝的推特账户使用的密码竟然如此简单，“MAGA2020”——“让美国再次强大”（Make America Great Again）。

大东：某国领导人的个人推特账户自他2017年1月就任总统以来，就一直非常活跃，但也数次爆出密码被安全研究员猜中。

小白：某国领导人的推特账号，这也太不小心了。

大东：不仅如此，猜中密码的研究人员还透露，某国领导人没有为此账户启用两步验证。也就是说，猜出密码的任何人都能够登录帐户、做出更改、发送自己想推的任何言论。

小白：太危险了！

某国领导人的推特账号（图片来自网络）

二、大话始末

大东：其实，这已经不是黑客第一次黑进他的Twitter账户了。

小白：哦？

大东：第一次是在四年前，在2016年大选前夕，三名黑客联手检索了他的密码并进入了他的账户。

小白：时间点都很相似呢！

大东：是的，同样距离总统选举只有三周的时间，俄罗斯和伊朗也有黑客入侵成功。

小白：他的推特账户简直是全球黑客的共同靶子呀！

大东：入侵的黑客Gevers表示，攻击特朗普账户的原因与竞选对手的报道有关，他儿子的一个硬盘被黑客入侵，原因正是拜登使用了一个容易被猜到的密码（Hunter02）。

小白：哈哈，所以Gevers还想检查下Twitter认证账户的安全性咯～

大东：他本人表示，他的工作就是寻找安全漏洞。

小白：黑客也是为总统的密码安全操碎了心啊～

大东：出于良好的意图，Gevers之后给某国领导人发提醒邮件，建议他采取额外的安全措施，或者使用一个稍微长一点的密码。

小白：好奇他们会不会采纳一个黑客的建议～

大东：善意且有用的建议都应该被考虑采纳。

三、密码安全性

1）账户密码简单得惊人

大东：问题的主要原因是账户设置的密码过于简单，这回他被猜中的密码是他在2016年大选中使用的竞选口号的缩写，具有一定的意义和个人标志，因此很容易被他人猜中。

小白：我知道～这就和我把生日日期设成银行密码是一个道理。

大东：请问你的生日是什么时候？

小白：哼，我可不会傻到说出来！

大东：由于密码设置过于简单，入侵者甚至只用5次尝试就猜中了。就算用户想使用具有个人特征的语句作为密码，也应该考虑设置得复杂一些。比如某国领导人的弱密码可以升级成：“!IWillMakeAmericaGreatAgain2020!”（我要让美国再次回到2020年！）

小白：这年头设个密码也真难啊～

2）激活两步验证

大东：其实，账户的两步验证也是一道重要安全保障。

小白：两步验证是啥意思？

大东：举个例子，国内很多网络服务 ，比如购物网站、银行，在支付的时候，除了需要你输入正确的帐号密码之外，常常还额外给你发一条带有验证码的手机短信，以此进一步确认你是帐号的真正主人。

小白：噢～原来就是手机验证码。

大东：这其实就是“两步验证”，或者叫做“双因素验证”的一种实现方式，它这里第二步验证是靠手机短信来发送验证码的。而国外的网络服务还会使用一种叫“身份验证器”或叫“虚拟 MFA”的二步验证方式，它是利用一种“随时间变化的验证码”来取代手机短信，不仅更安全，而且可离线使用，通用性也更强。

小白：我知道了。两步验证也是相当于给帐号多加一把“锁”，在输入正确的账号密码之后，用户同样还需要额外口令才能完成登录。

大东：是的。所以即使你的帐号和密码不慎泄露了，别人在没有这个数字验证码也是无法登录你的账号的，这可以大大提高破解的难度和帐号的安全性。所以建议所有能开启二步验证的重要网络帐号都要全部开启。

两步验证（图片来自网络）

3）密码不要重复使用

大东：此外，当下由于互联网蓬勃发展，每个人日常需要使用的账号密码越来越多，每个账户都需要设置密码。这就带来一个问题，很多用户会设计一个复杂密码，然后在所有登录入口皆用这同一个密码，这里存在着一些潜在的安全隐患。

小白：求指教！

大东：这就是拖库、买库。其实，不管你的密码是否复杂，其实黑客是不知道的，其一般的攻击行为是始发自各大门户网站、电商平台，而不是去扫描偷窥监听你的键盘。

小白：怎么做到的？

大东：有两种手段，一是黑客攻击服务器盗取数据，二是内鬼贩卖数据，里应外合。

小白：哦，这样黑客就能批量盗取一个平台下用户的账户信息，然后再拿这个密码去别的平台尝试登录。

大东：理解得不错！

四、密码设置指南

小白：天惹，上个网真的太难了！

大东：在设置密码的时候应该注意符合安全的复杂性要求。

小白：具体是什么呢？

大东：密码策略一直是活动目录策略中比较特殊的一个策略，所谓密码复杂性，网站的一般要求会包括：密码长度超过8个字符，密码不能包含用户名或全名的任何部分，密码必须至少包含英文大写字母、小写字母、阿拉伯数字、标点符号着4类字符。

小白：这么多账号呢，每个都这么设，我早就忘记了。

大东：你可以使用密码管理软件，保证每个密码的安全复杂度，又能安全保存每个密码。

小白：喔～

大东：不过密码还是要勤更换，最好三个月能换新密码。同时，账户也要开启两步验证，多一重安全防护。

小白：get了，这就改密码去！

参考文献：

1. 荷兰研究人员猜出特朗普的推特密码MAGA2020：https://mp.weixin.qq.com/s/8tvPgQH0KQtJFI9mBamxAA

2. 什么是两步验证？怎样开启二步验证？好用的身份验证器密码 APP 软件推荐：https://www.iplaysoft.com/two-factor-authentication.html

3. 黑客多次入侵特朗普Twitter账户，称其密码太简单，还发邮件劝特朗普改密码：

https://www.thepaper.cn/newsDetail_forward_9807667

4. 密码不符合系统密码复杂性策略：https://blog.51cto.com/gnaw0725/30217

5. 为什么所有账号使用同一个复杂密码会带来极大的安全问题？https://zhuanlan.zhihu.com/p/27844352

来源：中国科学院计算技术研究所

人说，现在是密码的时代，因为密码几乎无处不在，但是密码在给我们安全保障的同时，却又带了一个尴尬的问题：一旦密码丢失或被盗，会给我们带来很多的麻烦。因此，如何提升防护安全变得尤为重要。今天教大家几个简单的方法进一步提升密码防护安全。

介 绍

Ubiquiti 设备作为基础的网络设备经常会被恶意软件攻击。大多数情况下被利用攻击的客户端通常都是使用了默认密码，和账号相同的密码以及弱密码。而我们使用一种简单的措施就能避免此类攻击：唯一和随机（强）密码。

密码设置

密码的强弱是指一个密码对抗猜测或是暴力破解的有效程度。强密码可以降低安全漏洞的整体风险。一般我们会遵从一下几点设置密码。

1. 尽量使用长密码。据统计常用键一共为 95 个，一个随机长度的密码一共有 95^X 种组合，是不可能在段时间内通过全部列举来破译的。NIST（美国国家标准与技术研究院）根据研究表明一个足够长有意义的密码也会优于较短的复杂密码（字母、数字和符号的组合）。Ubiquiti 建议使用 8 位以上密码。

2. 尽量使用完全没有规律的大小写字母、数字和符号的组合。完全没有规律即没有连续性，即使使用 Shift 按 1234 也不如 1983 来的好使。并且增加一些随机字符串能立即给密码增加复杂度。

3.尽量为每个设备设置不同的密码。如果一个管理员要同事管理 100 个设备，为了方便记忆通常会设置 100 个相同的密码。这样会导致一个严重的问题，如果网络中的某个设备受到攻击，其余的 99 个设备也将沦为这一次攻击的牺牲品。

4.尽量定期修改密码（请完全更改）。根据英国国家网络安全中的研究表明“尽管大多数网络管理者会强迫用户定期更换密码，但是这通常会让用户觉得是个负担，因此一部分用户设置的新密码和旧密码的变化会非常微小。但是这样做对于盗密者而言几乎没有增加什么困难。” 因此我们建议在修改密码的使用避免使用相同的密码，也不要仅仅修改最后两位数。更改密码时，请完全更改。

5.使用密码管理器。2005 年的安全会议上，微软专家提到“如果我有 68 个不同密码，我将如何管理？写下来或者是不得不使用同样的密码。” 然而不管是将密码通过便利贴黏贴在客户端外面还是使用相同密码都是最容易泄密的举动。我们建议您在管理多个密码的时候可以使用密码管理器。常见密码管理器有：LastPass，Dashlane 和 1Password。

Ubiquiti 账户仅存储通过 hash 和 salte 加密后的值，不存储用户的密码，即使遭遇攻击从技术上盗密者也几乎无法获得正确密码。

此外另一个解决这类安全问题的办法就是启用“双因素认证（2FA）”功能，两步验证是在传统密码验证的同时，增加了其他的验证方式。

双因素认证（2FA）

双因素认证（英语：Two-factor authentication，缩写为 2FA），又译为双重验证、双因子认证、双因素认证、二元认证，又称两步验证（2-Step Verification），是多重要素验证中的一个特例，使用两种不同的元素，合并在一起，来确认用户的身份。

双因素认证 一般来说，三种不同类型的证据，可以证明一个人的身份。

秘密信息：只有该用户知道、其他人不知道的某种信息，比如密码。

个人物品：该用户的私人物品，比如身份证、钥匙。

生理特征：该用户的遗传特征，比如指纹、相貌、虹膜等等。

这些证据就称为三种"因素"（factor）。因素越多，证明力就越强，身份就越可靠。常见的使用密码登录的方式，是典型的单因素认证。与之相对，使用 两种/多种 因素对登陆尝试进行验证的方案，就叫做 双/多 因素验证。

双因素认证的几个例子：

银行卡：用户需要同时提供银行卡+密码，才能取得现金。

淘宝购物：淘宝账户密码+手机验证码，完成大于200元的购物。

为什么要使用 双因素认证（2FA）

2FA 的优点在于可以给段纯的密码登陆加一道保障。即使密码泄露，只要手机还在，账户就是安全的。各种密码破解对于 2FA 也是无效的。它保护了最常发生的一个安全问题。

如何启用双因素认证（2FA）

本文以 Google Authenticator（ Google 身份验证器）为例。

1.下载 Google Authenticator （ Google 身份验证器）并将其安装到您的手机中。

2. 转到 https://account.ui.com 并登录。

3. 从左侧菜单中选择安全性。在这个菜单中，您可以更改帐户密码和登陆超时期限以及启用双因素认证。

4. 单击切换启用双因素认证。将弹出一个小的弹出窗口，其下方带有 QR 码和神秘代码。

注意：

请将神秘代码妥善保管。如果你更换手机或者误删身份验证器，再次使用此功能可以帮助您重启账户。

5.打开手机上的 Google Authenticator 应用，点击菜单，然后点击 开始设置——扫描条形码。如果您已经有其他帐户，则可以单击右上角的加号（+） ，然后 单击“扫描条形码”。

6.通过手机的“扫描”功能。扫描显示在 account.ui.com 弹出窗口中的 QR 码。

7.在弹出窗口中输入 Google Authenticator 提供的 6 位数身份验证令牌。

8.点击 提交。

如何创建备份验证码

启用 双因素认证后，创建一组备份验证码非常重要。如果您因某种原因无法访问身份验证器应用程序（例如丢失了手机），这些验证码将允许您解锁帐户以禁用双因素认证。

1.登录到 https://account.ui.com ， 输入用户名，密码和 6 位数的身份验证令牌，登陆您的帐户设置。

2.转到安全菜单。

3.在“双因素认证”标题下，提供 Google Authenticator 应用提供的双因素认证令牌，然后点击生成新的备用验证码。

注意：生成新的备份验证码会使以前生成的所有备份验证码都过时。

4.系统会为您提供 10 个备用验证码的列表，请将其复制到安全的地方。如果有可能某人获得了您的验证码的访问权，请生成新验证码以使那些受到威胁的验证码过时。如果您无法访问双因素认证，则只需使用一个 未使用的 备份验证码。

如何禁用双因素认证（2FA）

1.转到 https://account.ui.com 并登录。

2.从菜单中选择安全性。

3.在“双因素认证”标题下，单击“ 禁用双因素认证”切换

4.在手机上使用 Google Authenticator 获取令牌，以将其填入到提供的字段中。

5.点击提交。

如何访问锁定的帐户

如果您由于更换手机，误删身份验证器应用程序或丢失手机而被锁定帐户，则可以使用以下一种方法再次访问您的帐户。

使用备份验证码重置双因素认证 2FA

1. 转到https://account.ui.com，照常输入您的用户名和密码，并在提示您输入 6 位数字令牌时，改为单击 重置 2FA。

2. 现在，只需粘贴先前保存的备份验证码之一，然后单击“ 重置 2FA” 按钮。

3. 现在禁用了双因素认证。单击上一步以使用用户名和密码登录，然后按照以下步骤再次启用它。记住要创建一组新的备份验证码。

注意：

此 Google 两步验证帮助文章 中讨论了其他可能的问题和解决方案。如果您在第一次启用 2FA 时失去了对帐户的访问权限，但未生成备份验证码或保存了神秘代码，并且以上链接中的解决方案均无帮助，请通过已注册的电子邮件与support@ui.com 联系在您的 Ubiquiti 帐户上，并要求他们重置 2FA。

参考资料：

[1].https://www.quikteks.com/blog/some-interesting-stats-on-two-factor-authentication/

[2].https://www.ruanyifeng.com/blog/2017/11/2fa-tutorial.html

[3]重剑.开启两步验证 保护个人隐私[J].电脑爱好者,2014(20):54-55.

[4]万立夫.启用两步验证 保护个人信息安全[J].电脑迷,2013(09):50.

[5]夏勇峰.密码被盗?没事! 双因子认证将减轻密码失窃问题[J].信息系统工程,2007(04):65.