小小的 USB 安全密钥，蕴含着大大的身份验证技能（川建国同志想要连任游戏）

被问到那场*乱，来自科罗拉多州的民主党众议员杰森，仍然心有余悸：“太难了，自打我结束在伊拉克和阿富汗当游骑兵后，就没再遇到过这种危急情况。”

杰森说的这场*乱，发生在美国时间 2021 年 1 月 6 日，简称 1·6 美国国会暴乱。

这天，是美国国会清点选举人票、确定总统人选的日子。此前，从各州的投票情况来看，川建国同志连任希望渺茫，眼看大局将定，建国鸡贼发推，号召自己的支持者“进京勤王”。

图片来源于网络

这不，一大锅川粉果真前来应援。

他们冲破路障，暴力攻破美国国会大厦，造成 4 人死亡，选票清点也被迫中断。直到 1 月 7 日凌晨，被迫加班的参议院议长彭斯，才强打精神上台宣布：瞌睡乔正式当选美国下任总统。

图片来源于网络

尽管一路火花闪电，但四年前的“邮件门”没有重现江湖，着实令人松了口气。

是这届黑客嫌川普和拜登年纪太大，不屑于再搞一场邮箱钓鱼攻击吗？非也。

从多方报道来看，不是黑客没动手，而是没得手。

1、邮箱里的秘密

每个人的邮箱里，或多或少都藏着秘密，一旦泄露，经历过的人才懂，比如贝克汉姆。

我们都知道，英国人对邮箱非常依赖，除了工作，面向各种对象的私人谈话，也都会使用邮件。

2017 年，贝克汉姆的邮箱惨遭泄露，多年来苦心经营的人设，一夜碎裂。

邮件泄露之前，贝克汉姆是人们眼中帅气、谦逊的绅士，也是体育界中愿为慈善事业四处奔走的一大表率；邮件泄露之后，人们才发现，贝克汉姆出口成脏，擅长人前讨好、背后吐槽，就连做慈善都动机不纯，竟是为了“爵士”头衔而搞出的社会摆拍。

图片来源于网络

一般的教训，一顿火锅就消化得差不多，不行就再来一顿；只有殿堂级教训，才能引起全社会的警觉，比如四年前的“邮件门”事件。

2016 年，是美国第 58 届总统的大选之年，各个竞选团队早早做起了准备，希拉里也不例外。

3 月 19 日，希拉里团队的竞选主席约翰·波德斯塔 (John Podesta)，收到了一封看似来源于谷歌官方的邮件，内容很简单：

“有人正试图登录你的账号，请尽快登录并修改密码。”

出于谨慎，波德斯塔的助手第一时间把邮件转发给了技术人员德拉万。很快，德拉万的回复来了：这是一封合法邮件。

得到确认后，助手放心的点开邮件链接，输入账号密码，然而，就在按下回车的一刹那，数千封民主党机密邮件沿着网线，无一遗漏地出现在黑客面前，内容令人震惊：希拉里勾结民主党高层，洗钱，肆意操控媒体，表面温顺、暗地里却给对手疯狂下套。

图片来源于网络

没错，那是一封钓鱼邮件。黑客伪装成 Google 的官方客服，不费吹灰之力，就拿到账号密码、黑掉了民主党的竞选邮箱，进而扩大攻击，完全控制了邮件服务器。

被泄露的机密邮件，被揭露的隐秘真相，被曝光的权谋野心，黑暗程度远超《纸牌屋》。“邮件门”再次证明，现实远比影视剧狗血。

“邮件门”事件一出，大选局势迅速逆转，川普一跃登上总统之位，喜提四年推特治国。

事后，德拉万接受媒体采访时说，他已经看出那是一封钓鱼邮件，原本要回复的内容是“这是一封非法邮件”，却无意中漏掉了两个关键字母，将“非法”(illegitimate) 写成了“合法” (legitimate)，最终引发了这场政治地震。

这再一次证明，在安全面前，人才是最大的漏洞。

2、来者何人？

“邮件门”事件，开启了一场全民安全养成游戏：美国在过去的四年里，不论是商英政客，还是互联网大厂，都开始使用 USB 安全密钥，以此来替代传统的二次验证。

图片来源于网络

2020 年美国大选，在联邦选举委员会的授权下，非营利机构 Defending Digital Campaigns 向竞选活动免费发放了数以万计的 USB 安全密钥，拜登也要求团队成员必须使用，以免误触钓鱼攻击，节外生枝。

据前安全研究员杰里米称：“(大选期间) 并不是没人试图进行账户钓鱼，但现在有工具可以阻止。小东西 (USB 安全密钥) 起效了，类似的邮件泄露事件才没有再次发生。”

从以往的鲜活教训来看，在「黑掉目标账户」这件事上，黑客可不是说说而已，什么刀枪剑戟、锅碗瓢盆，哪个好用用哪个，根本不在乎工具 low 不 low。

账户登录作为网络信息安全的第一关卡，准确判断“来者何人”就变得至关重要。

就目前来看，主流的用户身份验证方法分为三种：

1、你知道什么 (what you know)，也就是“用户名密码”。

静态密码登陆，是最为流行的身份识别方法，好处是简单易上手，但缺点也很明显，比如容易忘记，安全性也不高，一旦遭遇弱口令攻击、撞库、网络钓鱼等，分分钟沦陷。

2018 年 9 月，乌克兰独立新闻社曝出，乌克兰“第聂伯罗”武装军队所使用的自动化控制系统，不仅用户名是默认的“admin”，就连密码也是小学生知识水平的“123456”。

这个漏洞，“让敌人直到 2018 年夏天，都可以随意扫描乌克兰军队信息，就算你没有任何特殊知识，你也可以自由访问军队交换机、路由器、工作站等，随便分析大量军队的机密信息”。

图片来源于网络

2、你有什么 (what you have)，也就是“二次验证”。

二次验证，指在账号密码之外，借助用户才可能拥有的东西，额外增加一个验证环节，比如短信验证码、手机令牌、USB 安全密钥等。

图片来源于网络

二次验证看似万无一失，但在骨感的现实中，仍难敌攻击。

今年 2 月，家住江西的黄某遇到了一件糟心事。那天傍晚，黄某突然发现，自己的手机号被莫名挂失，很快，黄某又发现，自己在“雷达网”账户中所拥有的比特币被人转走，被盗虚拟货币折合人民币约 1450 万元。

报警后，南昌市公安局迅速立案侦查。由于“雷达网”是国外网站，被盗的又是虚拟货币，这给侦查带来了很大难度。

经过大量的线下摸排和技术分析，警方发现，6 名罪犯通过伪造受害人身份证，进而挂失、补办受害人手机卡，再用补办的手机卡登录“雷达网”，成功接收平台发送的登录验证码，最终完成盗窃。

图片来源于网络

瞧，就算你保护好了自己的账号密码，也难免不被“猪队友”出卖。

3、你是谁 (who you are)。

这是一种新型、快捷的验证方式，利用每个人所独有的生物特征来证明身份，比如指纹、面容、声音等。

在追求效率的今天，生物特征验证正变得流行起来，但相应的攻击技术却没打算缺席。

前段时间，魔性短视频“吗咿呀嘿”获得了病毒式的疯狂传播，洗脑的旋律，夸张的表情，让人忍不住跟着大佬一起抖动摇摆。

图片来源于网络

要说参与方法，实在是简单无奇，上传一张照片就行，但就是这样一款娱乐软件，只火了不到 7 天，就遭到苹果应用商店的下架处理。

很多人不理解，娱乐而已，为何要这么严肃？

事实上，这种“照片活化”，本质上是一种人脸识别攻击手法，尽管各大主流平台早已具备活体检测技术，但“照片活化”的滥用，很可能在某个被轻视的角落，正暗戳戳地谋划着一场攻击。

互联网之大，竟没有一种身份验证技术是万全的。

3、只凭实力论英雄

加密技术的应用，实打实给身份验证筑起了一道安全城墙。

密码学中，有两种加密技术：对称加密，非对称加密。

对称加密，是指在加密和解密时，都用同一个密钥。

比如我想寄一封信给你，内容略微敏感，为了不被第三者看见，需要加密处理，于是我打开一本辞海，把信中的每一个字都转换成词典中的页码和行数，完成加密才交给你。而你收到信后，只需打开手边的辞海，通过页码和行数完成还原，自然能明白信的内容。

图片来源于网络

对称加密最大的问题，是如何安全的传递密钥。

比如刚才故事中作为密钥的辞海，很多人都有，你能用它解密，别人也能，所以要想安全，就不能用辞海，而必须用一个只有我才有的密钥。

但与此同时，问题来了：很难找到一个办法，把我加密使用的密钥安全地传递给你，供你解密。

为了解决密钥的传递问题，就有了非对称加密。

在非对称加密中，有两把钥匙：一个是用来加密的公钥，另一个是用来解密的私钥。

假设我又要给你寄一封信，这时，你需要先把你的公钥发给我，我用这把公钥对内容进行加密后，将信发给你，你收到后，用手里的私钥进行解密，就能知道信中的内容。

图片来源于网络

这里要知道几点：

1、公钥和私钥之所以成对，是因为它们之间存在一种非常复杂的数学联系，即使公钥是公开的，但通过公钥几乎不可能推断出私钥；
2、公钥可以分享给任何人，但私钥一定要做好保密；
3、密码学领域中的研究者非常严谨的认为，世界上没有绝对不会被破解出的密码，只能退而求其次：如果一个密码的破解，需要很长很长的时间，就可以认为它是安全的。非对称加密，就是这样一种安全。

保障 2020 美国大选免受钓鱼攻击的 USB 安全密钥，原理就是非对称加密。它的外形酷似一枚 U 盘，内部有个可以处理加密密钥的芯片，初次注册时，用户就会拥有一对安全密钥，公钥发送给服务提供商，私钥则会存储在 USB 安全密钥中。

这枚实体密钥，几乎可以阻挡任何钓鱼攻击、中间人攻击、按键记录攻击等。

知名网络安全网站 Krebs on Security 曾在报告中称，谷歌自 2017 年初开始使用 USB 安全密钥后，8 万余名员工的工作账户，再也没有遭受过钓鱼攻击，实力可见一斑。