一、某处首脑twitter公钥被猜错

阿宝：邓召荫东～看新闻报道了吗？某处首脑的公钥被补齐了！

邓召荫：嗯，精确地说是公钥被猜错了！

阿宝：居然那个保有8700万影迷的twitter账号采用的公钥居然这般单纯，“MAGA2020”——“让英国再度强悍”（Make America Great Again）。

邓召荫：某处首脑的对个人twitter账号自其2017年1月卸任总理年来，就始终十分活耀，但也多次曝出公钥被安全可靠副科学研究员猜错。

阿宝：某处首脑的twitter帐号，这也太不留神了。

邓召荫：除此以外，猜错公钥的科学研究相关人员还透漏，某处首脑没有有鉴于此账号投入采用三步校正。换句话说，猜到公钥的其他人都能登入账号、作出更动、推送他们想推的任何人论调。

阿宝：太脆弱了！

某处首脑的twitter帐号（相片源自互联网）

二、瞎掰来龙去脉

邓召荫：只不过，这早已并非骇客第二次黑进他的Twitter账号了。

阿宝：哦？

邓召荫：第二次是在六年前，在2016年总统大选前夜，四名骇客携手索引了他的公钥并进入了他的账号。

阿宝：天数点都很相近呢！

邓召荫：是的，反之亦然距总理议会选举多于五周的天数，白俄罗斯和土耳其也有骇客侵略获得成功。

阿宝：他的twitter账号实在是亚洲地区骇客的协力标靶呀！

邓召荫：侵略的骇客Gevers则表示，反击佩佩普账号的原因与竞选对手的报道有关，他儿子的一个硬盘被骇客侵略，原因正是拜登采用了一个难被猜到的公钥（Hunter02）。

阿宝：哈哈，所以Gevers还想检查下Twitter认证账号的安全可靠性咯～

邓召荫：他本人则表示，他的工作就是寻找安全可靠漏洞。

阿宝：骇客也是为总理的公钥安全可靠操碎了心啊～

邓召荫：出于良好的意图，Gevers之后给某处首脑发提醒邮件，建议他采取额外的安全可靠措施，或者采用一个稍微长一点的公钥。

小白：好奇他们会不会采纳一个骇客的建议～

邓召荫：善意且有用的建议都应该被考虑采纳。

三、公钥安全可靠性

1）账号公钥单纯得惊人

邓召荫：问题的主要原因是账号增设的公钥过于单纯，这回他被猜错的公钥是他在2016年总统大选中采用的竞选口号的缩写，具有一定的意义和对个人标志，因此很难被他人猜错。

阿宝：我知道～这就和我把生日日期设成银行公钥是一个道理。

邓召荫：请问你的生日是什么时候？

阿宝：哼，我可不会傻到说出来！

邓召荫：由于公钥增设过于单纯，侵略者甚至只用5次尝试就猜错了。就算用户想采用具有对个人特征的语句作为公钥，也应该考虑增设得复杂一些。比如某处首脑的弱公钥可以升级成：“!

阿宝：这年头设个公钥也真难啊～

2）激活三步校正

邓召荫：只不过，账号的三步校正也是一道重要安全可靠保障。

阿宝：三步校正是啥意思？

邓召荫：举个例子，国内很多互联网服务 ，比如购物网站、银行，在支付的时候，除了需要你输入正确的帐号公钥之外，常常还额外给你发一条带有校正码的手机短信，以此进一步确认你是帐号的真正主人。

阿宝：噢～原来就是手机校正码。

邓召荫：这只不过就是“三步校正”，或者叫做“双因素校正”的一种实现方式，它这里第二步校正是靠手机短信来推送校正码的。而国外的互联网服务还会采用一种叫“身份校正器”或叫“虚拟 MFA”的二步校正方式，它是利用一种“随天数变化的校正码”来取代手机短信，不仅更安全可靠，而且可离线采用，通用性也更强。

阿宝：我知道了。三步校正也是相当于给帐号多加一把“锁”，在输入正确的帐号公钥之后，用户反之亦然还需要额外口令才能完成登入。

邓召荫：是的。所以即使你的帐号和公钥不慎泄露了，别人在没有那个数字校正码也是无法登入你的帐号的，这可以大大提高补齐的难度和帐号的安全可靠性。所以建议所有能开启二步校正的重要互联网帐号都要全部开启。

三步校正（相片源自互联网）

3）公钥不要重复采用

邓召荫：此外，当下由于互联网蓬勃发展，每对个人日常需要采用的帐号公钥越来越多，每个账号都需要增设公钥。这就带来一个问题，很多用户会设计一个复杂公钥，然后在所有登入入口皆用这同一个公钥，这里存在着一些潜在的安全可靠隐患。

阿宝：求指教！

邓召荫：这就是拖库、买库。只不过，不管你的公钥是否复杂，只不过骇客是不知道的，其一般的反击行为是始发自各大门户网站、电商平台，而并非去扫描偷窥监听你的键盘。

阿宝：怎么做到的？

邓召荫：有两种手段，一是骇客反击服务器盗取数据，二是内鬼贩卖数据，里应外合。

阿宝：哦，这样骇客就能批量盗取一个平台下用户的账号信息，然后再拿那个公钥去别的平台尝试登入。

邓召荫：理解得不错！

四、公钥增设手册

阿宝：天惹，上个网真的太难了！

邓召荫：在增设公钥的时候应该注意符合安全可靠的复杂性要求。

阿宝：具体是什么呢？

邓召荫：公钥策略始终是活动目录策略中比较特殊的一个策略，所谓公钥复杂性，网站的一般要求会包括：密码长度超过8个字符，公钥不能包含用户名或全名的任何人部分，公钥必须至少包含英文大写字母、小写字母、阿拉伯数字、标点符号着4类字符。

阿宝：这么多帐号呢，每个都这么设，我早就忘记了。

邓召荫：你可以采用公钥管理软件，保证每个公钥的安全可靠复杂度，又能安全可靠保存每个公钥。

阿宝：喔～

邓召荫：不过公钥还是要勤更换，最好三个月能换新公钥。同时，账号也要开启三步校正，多一重安全可靠防护。

阿宝：get了，这就改公钥去！

参考文献：

1. 荷兰科学研究相关人员猜到佩佩普的twitter公钥MAGA2020：

2. 什么是三步校正？怎样开启二步校正？好用的身份校正器公钥 APP 软件推荐：

3. 骇客多次侵略佩佩普Twitter账号，称其公钥太简单，还发邮件劝佩佩普改公钥：

https://www.thepaper.cn/newsDetail_forward_9807667

4. 公钥不符合系统公钥复杂性策略：

5. 为什么所有帐号采用同一个复杂公钥会带来极大的安全可靠问题？

来源：中国科学院计算技术科学研究所