当被问及这次骚乱时，来自科罗拉多州的民主党众议员杰森仍然心有余悸。太难了。自从我结束在伊拉克和阿富汗的游骑兵生涯以来，我还没有遇到过如此危急的情况。"

杰森所说的骚乱发生在美国时间2021年1月6日，简称1.6美国国会骚乱。

这一天是美国国会统计选举人票、确定总统候选人的日子。此前，从各州的投票情况来看，川建国同志连任希望不大。眼看大局已定，建国贼鸡发推，号召支持者& quot去北京要勤快。"

图片来自网络。

这不，一大锅川粉真的来帮忙了。

他们冲破路障，暴力冲破美国国会大厦，造成4人死亡，计票被迫中断。直到1月7日凌晨，被迫加班的参议院议长伯恩斯上台，宣布瞌睡虫乔正式当选美国下一任总统。

图片来自网络。

尽管火花四射，但令人欣慰的是& quot邮件门& quot四年前并没有重现江湖。

是不是这个黑客认为特朗普和拜登太老了，不需要再为另一次电子邮件钓鱼攻击费心了？号码

从各种报道来看，不是黑客没做，而是没成功。

1、邮箱里的秘密

众所周知，英国人非常依赖电子邮件，除了工作和与各种各样的人进行私人谈话之外，他们也使用电子邮件。

2017年，贝克汉姆的邮箱被泄露，辛辛苦苦多年的人一夜之间把它设置好，弄坏了。

在邮件泄露之前，贝克汉姆在人们眼中是一个英俊谦逊的绅士，也是体育界愿意为慈善事业四处奔走的伟大榜样。直到邮件泄露后，人们才发现，贝克汉姆的出口很脏，他善于在人前讨好，在背后吐槽，甚至他做慈善的动机也不纯。这实际上是一种社交姿态爵士乐& quot。

图片来自网络。

总的教训是，一顿火锅就消化的差不多了，不行就再来一顿；只有寺庙层面的教训才能引起全社会的警惕，比如& quot邮件门& quot四年前的事件。

2016年是美国第58任总统的选举年，各竞选团队早早做好了准备，希拉里也不例外。

3月19日，希拉里团队的竞选主席JohnPodesta收到了一封似乎来自谷歌官网的邮件。内容很简单：

"有人试图登录您的帐户，请尽快登录并更改您的密码。"

出于谨慎，波德斯塔的助手立即将邮件转发给了技术员德拉万。很快，德拉万的回复来了：这是一封合法的邮件。

得到确认后，助手点开邮件链接，放心输入账号密码。然而，在按下Enter键的一瞬间，数千封民主党机密邮件沿着网络线路出现在黑客面前，内容触目惊心：希拉里勾结民主党高层，洗钱，随意操纵媒体，表面上让对手疯狂。

图片来自网络。

是的，这是一封网络钓鱼邮件。黑客伪装成谷歌官方客服，不费吹灰之力就拿到了账号密码，黑进了民主党的竞选邮箱，从而扩大了攻击范围，完全控制了邮件服务器。

泄露的机密邮件，揭露的秘密真相，暴露的权谋野心，远比《纸牌屋》黑暗。& quot邮件门& quot再次证明现实远比影视剧血腥。

一旦& quot邮件门& quot事件一出，大选形势迅速逆转，川普一跃成为总统，欲发推特四年治国。

事后，德拉万在接受媒体采访时表示，他已经看出这是一封钓鱼邮件。回复的原内容是& quot这是一封非法邮件& quot，但两个关键字母被无意中遗漏了，而且& quot非法& quot被写成& quot法律& quot，最终引发了这场政治地震。

这再次证明，在安全面前，人才是最大的漏洞。

2、来者何人？

图片来自网络。

2020年美国大选，在联邦选举委员会的授权下，非营利组织DefendingDigitalCampaigns免费向竞选活动分发了数万个USB安全密钥。拜登还要求团队成员使用它们来避免意外的网络钓鱼攻击和并发症。

根据前安全研究员杰里米的说法不是没人尝试过做账号钓鱼，现在有工具可以阻止了。小东西(USB安全钥匙)起作用了，类似的邮件泄露事件没有再发生。"

从过去生动的教训来看，黑客们谈论的不仅仅是& quot入侵目标账户& quot。他们不在乎哪个工具好不好，比如剑，矛，锅碗瓢盆。

作为网络信息安全的第一关，准确判断谁来了非常重要。

目前，主流的用户认证方式分为三种：

1、你知道什么(whatyouknow)，也就是“用户名+密码”。

静态密码登录是最流行的身份识别方法。它的优点是简单易用，但缺点也很明显，比如容易忘记，安全性低。一旦弱密码攻击、库碰撞、网络钓鱼等。它会在几分钟内坠落。

2018年9月，乌克兰独立新闻社透露，乌克兰使用的自动控制系统& quot第聂伯罗& quot武装部队，不仅用户名是默认的& quot管理员& quot，而且密码是& quot123456 & quot小学生的知识水平。

这个漏洞& quot允许敌人随意扫描乌克兰军事信息，直到2018年夏天。即使没有任何专门知识，也可以自由接触军用交换机、路由器、工作站等。并随意分析大量军事机密信息。"

图片来源于网络

2、你有什么(whatyouhave)，也就是“二次验证”。

二次验证，指在账号密码之外，借助用户才可能拥有的东西，额外增加一个验证环节，比如短信验证码、手机令牌、USB安全密钥等。

图片来源于网络

二次验证看似万无一失，但在骨感的现实中，仍难敌攻击。

今年2月，家住江西的黄某遇到了一件糟心事。那天傍晚，黄某突然发现，自己的手机号被莫名挂失，很快，黄某又发现，自己在“雷达网”账户中所拥有的比特币被人转走，被盗虚拟货币折合人民币约1450万元。

报警后，南昌市公安局迅速立案侦查。由于“雷达网”是国外网站，被盗的又是虚拟货币，这给侦查带来了很大难度。

经过大量的线下摸排和技术分析，警方发现，6名罪犯通过伪造受害人身份证，进而挂失、补办受害人手机卡，再用补办的手机卡登录“雷达网”，成功接收平台发送的登录验证码，最终完成盗窃。

图片来源于网络

瞧，就算你保护好了自己的账号密码，也难免不被“猪队友”出卖。

3、你是谁(whoyouare)。

这是一种新型、快捷的验证方式，利用每个人所独有的生物特征来证明身份，比如指纹、面容、声音等。

在追求效率的今天，生物特征验证正变得流行起来，但相应的攻击技术却没打算缺席。

前段时间，魔性短视频“吗咿呀嘿”获得了病毒式的疯狂传播，洗脑的旋律，夸张的表情，让人忍不住跟着大佬一起抖动摇摆。

图片来源于网络

要说参与方法，实在是简单无奇，上传一张照片就行，但就是这样一款娱乐软件，只火了不到7天，就遭到苹果应用商店的下架处理。

很多人不理解，娱乐而已，为何要这么严肃？

事实上，这种“照片活化”，本质上是一种人脸识别攻击手法，尽管各大主流平台早已具备活体检测技术，但“照片活化”的滥用，很可能在某个被轻视的角落，正暗戳戳地谋划着一场攻击。

互联网之大，竟没有一种身份验证技术是万全的。

3、只凭实力论英雄

加密技术的应用，实打实给身份验证筑起了一道安全城墙。

密码学中，有两种加密技术：对称加密，非对称加密。

对称加密，是指在加密和解密时，都用同一个密钥。

比如我想寄一封信给你，内容略微敏感，为了不被第三者看见，需要加密处理，于是我打开一本辞海，把信中的每一个字都转换成词典中的页码和行数，完成加密才交给你。而你收到信后，只需打开手边的辞海，通过页码和行数完成还原，自然能明白信的内容。

图片来源于网络

对称加密最大的问题，是如何安全的传递密钥。

比如刚才故事中作为密钥的辞海，很多人都有，你能用它解密，别人也能，所以要想安全，就不能用辞海，而必须用一个只有我才有的密钥。

但与此同时，问题来了：很难找到一个办法，把我加密使用的密钥安全地传递给你，供你解密。

为了解决密钥的传递问题，就有了非对称加密。

在非对称加密中，有两把钥匙：一个是用来加密的公钥，另一个是用来解密的私钥。

假设我又要给你寄一封信，这时，你需要先把你的公钥发给我，我用这把公钥对内容进行加密后，将信发给你，你收到后，用手里的私钥进行解密，就能知道信中的内容。

图片来源于网络

这里要知道几点：

1、公钥和私钥之所以成对，是因为它们之间存在一种非常复杂的数学联系，即使公钥是公开的，但通过公钥几乎不可能推断出私钥；

2、公钥可以分享给任何人，但私钥一定要做好保密；

3、密码学领域中的研究者非常严谨的认为，世界上没有绝对不会被破解出的密码，只能退而求其次：如果一个密码的破解，需要很长很长的时间，就可以认为它是安全的。非对称加密，就是这样一种安全。

保障2020美国大选免受钓鱼攻击的USB安全密钥，原理就是非对称加密。它的外形酷似一枚U盘，内部有个可以处理加密密钥的芯片，初次注册时，用户就会拥有一对安全密钥，公钥发送给服务提供商，私钥则会存储在USB安全密钥中。

这枚实体密钥，几乎可以阻挡任何钓鱼攻击、中间人攻击、按键记录攻击等。

知名网络安全网站KrebsonSecurity曾在报告中称，谷歌自2017年初开始使用USB安全密钥后，8万余名员工的工作账户，再也没有遭受过钓鱼攻击，实力可见一斑。

图片来源于网络

也许你也曾收到过钓鱼短信或邮件，甚至还中过招，但有足够数据证明，政府机构和企业才是黑客们的主要目标，只要成功一票，单车立马变宇宙飞船。

正是这种超高收益，才引得黑客们不断升级网络钓鱼技术，令人防不胜防。

在钓鱼攻击面前，比起自修网络安全知识、冥思苦想反人类的无规律密码，一枚小小的USB安全密钥，倒是更能为你保驾护航。

图片来源于网络

文|木子Yanni

嗨，这里是浅黑科技，在未来面前，我们都是孩子。

想看更多科技故事，欢迎戳→微信公众号：浅黑科技。