论文部分内容阅读
这件事儿说起来真是有些尴尬。上周末,Twitter现任CEO杰克·多西的Twitter账户突然“变脸”:先是发布了几个无关痛痒的视频,接着出现一段话:“Hey, it’s OurMine, we are testing your security.”
这不是一次单独事件。6月初,Facebook CEO马克·扎克伯格、Google CEO桑达尔·皮查伊的Twitter账户相继被盗,场景和多西遇到的如出一辙:黑客充满挑衅地宣称,“我们是来测试你的信息安全的。”
结果呢?一目了然。
表面看来,这些CEO都因在不同网站使用同样的密码而“牵一发动全身”。根据媒体公开的报道,扎克伯格的账户被盗是受到LinkedIn信息泄漏事件的牵连,黑客通过泄漏的信息破解了扎克伯格的Twitter账户;皮查伊则是先在问答网站Quora上被黑,进而影响到Twitter账户;多西的账户被黑则可能是因为使用了Twitter旗下的短视频应用Vine,账户被黑后发布的那几段视频便是通过Vine发上来的。
黑客没有改密码(视频和挑衅语言很快被删除),而且专挑硅谷技术公司CEO的账户,显然是想要引起关注。技术媒体The Next Web联系了OurMine团队—这个自称提供网络安全服务的团队说这并非为了做广告获得收入,而是想让大众知道,每个人都不安全。
真的是这样吗?
我和一位曾经在Facebook供职的工程师聊到这件事情时,他分析说,本质上这不是哪个网站的问题,而是在互联网高速发展的今天,人们没有给予网络安全问题足够的重视;更重要的是,网络安全技术是整个互联网产业链中相对薄弱和滞后的一环。
“用户登录一个网站要输入账户和密码,通过网络连接到网站的服务器上。在这段传输的过程中,任何一个节点都有可能被拦截。如果网站做得好,账户密码经过加密,黑客并不是那么容易获取。”这位工程师说。
前不久Twitter曾经发生过部分用户的账户信息被泄漏的事件,当时Twitter发表了一篇名为《keeping your account safe》(保护你的账户安全)的声明,其中提到Twitter主要采用HTTPS和bcrypt等加密技术保护用户的信息安全。
HTTPS,即超文本安全传
输协议,1994年由网景浏览器创建并使用,是目前主流的加密手段之一;bcrypt则是基于一个叫做Blowfish(1993年发布)加密算法的加密工具,于1999年在一个叫做USENIX的计算机系统组织首次演示。
我们并非针对Twitter这一个个案,而是这些主流加密方式显然年份已久,更凸显出网络安全成了一个“房间里的大象”。
存在问题,当然也就有机会。
今年5月,美国投资咨询机构Cybersecurity Ventures发布了一份名为《2016年第二季度最值得关注的互联网安全公司》的报告,在解释这份报告时,Cybersecurity Ventures提到网络安全市场2015年的市场价值在750亿美元左右,预测到2020年将增长至超过1700亿美元。报告同时指出,信息安全这一领域存在严重的人力资源紧缺,仅2016年就有100万个职位空缺。
解决问题的第一步仍然是重视它。对普通人来说,所谓重视,可能是要先照着技术公司的提示去做:它们总是不厌其烦地提醒大众,尽量把密码设得复杂一些,不要在不同网站使用同样的密码,如果实在记不住,现在市面上也有帮用户管理密码的软件。
另一方面,当然是技术公司们的角色。这也是为什么在斯诺登事件发生后,美国总统奥巴马来到硅谷时强调,希望硅谷的技术公司共同合作,改善网络安全问题。它们是推动行业进步的主要力量。
除了加密技术方面的进步,在用户使用场景上,人们的身份验证方式已经有了新的想象空间。例如Facebook让你辨认好友的照片来验证身份、微信也有通过让用户选择3个好友发送消息来完成登录认证、苹果在这一点上做得更直接也更接近现实生活:直接用Touch ID解锁手机—我们都知道,人的指纹是独一无二的。
这不是一次单独事件。6月初,Facebook CEO马克·扎克伯格、Google CEO桑达尔·皮查伊的Twitter账户相继被盗,场景和多西遇到的如出一辙:黑客充满挑衅地宣称,“我们是来测试你的信息安全的。”
结果呢?一目了然。
表面看来,这些CEO都因在不同网站使用同样的密码而“牵一发动全身”。根据媒体公开的报道,扎克伯格的账户被盗是受到LinkedIn信息泄漏事件的牵连,黑客通过泄漏的信息破解了扎克伯格的Twitter账户;皮查伊则是先在问答网站Quora上被黑,进而影响到Twitter账户;多西的账户被黑则可能是因为使用了Twitter旗下的短视频应用Vine,账户被黑后发布的那几段视频便是通过Vine发上来的。
黑客没有改密码(视频和挑衅语言很快被删除),而且专挑硅谷技术公司CEO的账户,显然是想要引起关注。技术媒体The Next Web联系了OurMine团队—这个自称提供网络安全服务的团队说这并非为了做广告获得收入,而是想让大众知道,每个人都不安全。
真的是这样吗?
我和一位曾经在Facebook供职的工程师聊到这件事情时,他分析说,本质上这不是哪个网站的问题,而是在互联网高速发展的今天,人们没有给予网络安全问题足够的重视;更重要的是,网络安全技术是整个互联网产业链中相对薄弱和滞后的一环。
“用户登录一个网站要输入账户和密码,通过网络连接到网站的服务器上。在这段传输的过程中,任何一个节点都有可能被拦截。如果网站做得好,账户密码经过加密,黑客并不是那么容易获取。”这位工程师说。
前不久Twitter曾经发生过部分用户的账户信息被泄漏的事件,当时Twitter发表了一篇名为《keeping your account safe》(保护你的账户安全)的声明,其中提到Twitter主要采用HTTPS和bcrypt等加密技术保护用户的信息安全。
HTTPS,即超文本安全传
输协议,1994年由网景浏览器创建并使用,是目前主流的加密手段之一;bcrypt则是基于一个叫做Blowfish(1993年发布)加密算法的加密工具,于1999年在一个叫做USENIX的计算机系统组织首次演示。
我们并非针对Twitter这一个个案,而是这些主流加密方式显然年份已久,更凸显出网络安全成了一个“房间里的大象”。
存在问题,当然也就有机会。
今年5月,美国投资咨询机构Cybersecurity Ventures发布了一份名为《2016年第二季度最值得关注的互联网安全公司》的报告,在解释这份报告时,Cybersecurity Ventures提到网络安全市场2015年的市场价值在750亿美元左右,预测到2020年将增长至超过1700亿美元。报告同时指出,信息安全这一领域存在严重的人力资源紧缺,仅2016年就有100万个职位空缺。
解决问题的第一步仍然是重视它。对普通人来说,所谓重视,可能是要先照着技术公司的提示去做:它们总是不厌其烦地提醒大众,尽量把密码设得复杂一些,不要在不同网站使用同样的密码,如果实在记不住,现在市面上也有帮用户管理密码的软件。
另一方面,当然是技术公司们的角色。这也是为什么在斯诺登事件发生后,美国总统奥巴马来到硅谷时强调,希望硅谷的技术公司共同合作,改善网络安全问题。它们是推动行业进步的主要力量。
除了加密技术方面的进步,在用户使用场景上,人们的身份验证方式已经有了新的想象空间。例如Facebook让你辨认好友的照片来验证身份、微信也有通过让用户选择3个好友发送消息来完成登录认证、苹果在这一点上做得更直接也更接近现实生活:直接用Touch ID解锁手机—我们都知道,人的指纹是独一无二的。