联合国秘书长发言人Stéphane Dujarric在9月9日的一份声明中表示，“我们可以确认，未知的攻击者在2021年4月入侵了联合国的部分基础设施。”

早在今年4月，联合国就曾遭遇网络攻击，攻击者盗取了大量数据，这些数据可能被用来攻击联合国。

联合国称经常成为网络攻击的目标，且面临持续性攻击。

发现该事件的网络安全公司Resecurity称，黑客能够借此深入访问联合国网络。黑客最早攻击联合国系统是4月5日，最晚活动时间是8月7日。

Recorded Future的高级威胁分析师Allan Liska表示，联合国一直是民族国家攻击者的主要目标。他曾看到暗网出售联合国雇员的帐号和密码。

---摘自宁静之盾安全周报、Freebuf新闻资讯

是的，恶意攻击者不会因为你的身份而放过你。相反，他们会因为你的身份更关注你。

联合国被入侵已不是新鲜事，据参考消息网1月31日的报道称，2019年9月，联合国在日内瓦和维也纳的网络也曾被未知黑客入侵过。报道介绍，在被问及入侵事件时，一名联合国官员说，入侵事件看起来“很复杂”，破坏程度不明，尤其是可能被窃取的个人、机密和不宜泄露的信息。

#1 身份凭证是空间传送门

密码是网络空间里最常见的身份凭证，毕竟“密码”的原始意义就是“只有使用者知道”。

十几年前，网络还没有形成空间化，还仅仅是作为通信、娱乐为主的一种载体存在。那时验证身份的凭证仅仅是作为打开工具箱的钥匙。虽然账号被盗事件也屡有发生，但那时的恶意攻击者窃取凭证的目标仅仅是你的数字资产（比如：网游账号，即时通讯账号、电子邮件账号等等）。

十几年过去了，在2021年的今天，随着人类社会信息化进程推进，网络已经不仅仅是一个简单工具性载体。承载着全人类数据化资产的互联网已经逐渐形成了平行于现实空间的另一个元宇宙。这个名为“网络空间”的平行空间与实体空间的数据是并行的，实体资产和数据资产的界限越来越模糊。人类的生产、生活不仅发生在实体空间，同时也发生在网络空间中。人类的社会关系、个人资产、乃至于除开肉体外的其他数据基本同步到了网络空间中。

在这样的前提下，身份凭证不再只是作为打开“网络信息”工具箱的钥匙，而是你从实体空间到网络空间的私有空间传送门。

这意味着什么？这意味着如果你丢失传送门，不会像十几年前一样仅仅丢失几件网络游戏装备这样的数字资产。更严重的是你会丢失你在网络空间的身份，恶意攻击者在获取你的凭证后，可以用你的身份肆意妄为。

如果有一天你回家看到你的家人正簇拥着一个长得和你一模一样的家伙有说有笑，而不认识你。你内心恐惧吗？

如果有一天你的同事告诉你，你窃取了公司的重要资产，但你对此一无所知时。你感到绝望吗？

当你丢失了你的网络身份凭证，以上情况在网络空间都可能发生。而且这还不是后果最严重的情况，有更多意想不到的严重后果可能发生在你丢失网络身份凭证之后。

#2 身份凭证的构成和保存它的空间袋

愚夫君看到联合国被攻击的新闻后想和各位看官聊一下关于密码那些事儿。

在“网络是工具”时代，身份凭证一般都是以密码形式存在，它出现在生活中的各种场景。银行卡、IM登陆验证、游戏登陆验证、电子邮箱登陆验证、网络论坛登陆验证、企业VPN拨入验证、宽带接入验证等等，几乎所有接入网络的入口都需要身份凭证验证。

但由于实体空间对网络空间的依赖不强，所以大部分用户不重视身份凭证管理，各种小型盗号事件频发。

常见密码类型

那时的密码大致都有实体意义，通常是从人名、纪念日、地址、俗语、组织名、无意义弱组合、键盘序列这类集合里提取与自己相关的元素组合而成。

人名：通常是自己、亲人、爱人的简写

纪念日：使用最多的是生日简写

便于记忆和输入的密码：类似123456、qazwsx、888888

虽然被盗事件时有发生，但用户们却乐此不疲。

很多服务提供商绞尽脑汁诱导或者迫使用户使用安全性更高的密码，为此提出了强制密码长度和复杂度、平台联合登陆等方案，但效果并不明显。

改变用户观念的根源是网络空间的形成。契机是移动互联网的发展将人们的生活引入了新的平行空间。而转折点应该是频发的“服务提供商数据被窃”事件。

用户和厂商发现恶意攻击者将窃取的详细用户信息和密码变形，形成不同组合的密码列表用于尝试同一用户在不同平台的身份验证，成功率非常高，黑客们屡试不爽。大范围的用户遭受此类攻击，在造成不同程度损失的同时，也让用户明白了密码作为身份凭证在网络空间中的重要性。

因此，在“拖库”、“撞库”频发的同时，用户和厂商开始尝试用各种不同的方式对抗密码泄露产生的严重后果。身份凭证也在这样的演变过程中逐渐进化，不再是单一的密码形态。

“智能卡”、“双因子验证”、“即插式证书”、“异地登陆检测”、“强密码云钥匙串”、“指纹验证”、“人脸识别”都是厂商在不断探索中提出的身份验证方案。

用户也开始注重密码的管理，很多人开始将不同厂商平台的密码分类，使之各自不同且密码构成保持在一定的强度。随着越来越多的密码产生，出现了各种密码管理器（1password、onesafe等）。

身份凭证的构成进化出了多元化结构，而保存它的空间袋也越来越接近实体化。无论是“智能卡”、“双因子验证”、“即插式证书”这类硬件类，还是“指纹验证”、“人脸识别”这类生物特征类，又或是1password、onesafe、“强密码云钥匙串”这样的空间袋类型，它们的产生归根结底是为了用户更安全地管理网络空间身份凭证。

#3 不怕贼偷就怕贼惦记

在身份凭证构成和管理如此进化之后，用户的凭证安全是否真的得到对应的保证了呢？

答案是肯定的，至少老式的“撞库”等手法得到了有效遏制。但是对抗进化是双向的，防守方在进化的同时，攻击方也在进化。

经常会有人遇到“连自己都记不住密码的平台账户莫名就被盗了”这样的困惑。当用户认为流程安全而盲目信任“空间袋”管理身份凭证时，已经把自己的身份寄予在非可控位置。

例如以下情况：

• 很多平台在逐渐放弃密码登陆，改用短信验证码登陆。认为用户的手机属于私人随身物品，作为凭证再合适不过了。然而实际上，恶意攻击者屡次采用拦截手机短信方式获取登陆凭证，在APT攻击案例中屡见不鲜。
• 有些用户采用邮件作为双因子验证，而邮件密码却和登陆密码同源，导致双因子无意义。
• 部分使用密码管理器的用户，使用外部同源密码规则作为密码管理器的开启密码导致管理器管理的凭证全部外泄。

类似情况还很多。

安全是相对的，防守在发展的同时，攻方也在不断研究防守方的薄弱环节。就身份凭证管理来讲，对任何现有的方案或工具产生绝对信任都是存在致命危险的。信任是相对的，在启用有效方案或工具来管理验证身份的同时，用户提升对密码本身的重视也是必不可少的环节。

#4 密码金字塔

密码的设置常常是很多人纠结的一个难题。常会有这样的情况：

建立一个新密码的时候，面对密码框发愣不知道设置什么密码，好不容易设置完了，由于一段时间不需要验证，过段时间提示再输入时，却发现自己完全忘了当时设置的是什么！又或者一看见密码设置框，想都不想就输入自己唯一的密码，所有地方的密码都几乎一模一样。

个人密码究竟如何设置才能提高安全度，起到身份凭证的实际意义？

按照安全最小化原则,密码的使用率越低，被泄露几率就越低，安全度就越高。信任是相对的，那么针对不同的应用场景设置密码分级制度是个人密匙提升安全度的有效方案。

愚夫君按照普通人的密码使用习惯简要的列出了不同应用场景的分类。读者可按自己的实际情况稍作调整。

以这样的密码金字塔蓝本来建立自己的密码管理体系。将各种不同应用场景的密码分类记忆，就算某一个层级的密码泄露，也不会导致全局安全受到影响。并且按照泄露的密码，可以快速梳理出发生问题的环节和层级，做出对应的修补措施。

#5 编码式记忆法

看到这里读者可能会有疑问，既然个人密匙管理分级已经达到7个左右，那么至少有7个密码需要记忆。普通人能记住的常用密码一般不超过4个，而且这4个密码还极有可能有重合。那么这样的分级模式对于普通人来说是不是极其困难呢？

如前文所提到的，很多人的密码设置习惯会掺杂自己熟悉的信息以便于记忆。但这种方式也很容易被恶意攻击者所利用。愚夫君在这里给出一个科学的解决方案——编码式记忆法。

利用基本加密中使用的公钥+私钥+私有算法的方式来设立自己的密码，既可以达到设定复杂密码的目的，也可以轻松反算还原密码，再也不用愁忘记密码了。

愚夫君举两个例子：
假设愚夫君要设立一个银行卡提款密码。众所周知，国内的银行卡提款密码都是6位全数字的。在这个规则前提下，再怎么设置，密码也无法复杂起来。如何利用编码式记忆法将其编码成自己方便记忆，而别人难以通过基本信息猜出呢？

示例1

首先假设基本算法采用凯撒算法来变形
基本加密公式为En(x)=(x+n) mod 26

公钥采用英文小写字母表,私钥采用愚夫君的拼音简写首字母：yfj

变形的部分是偏移量n的取值。凯撒密码原设计里偏移量是固定的，这里我们修改为以英文小写字母表作为公钥,以私钥在公钥集合里序列位置的叠加作为偏移。以此隐藏我们的算法。

以私钥yfj为例，y在字母表里的顺序序列为25（PS：计数为非零自然数），f为6，j为10。以x为起始位置计算，顺序取值代入公式加密：
第一个数字为(0+25)\mod 26=25
第二个数字为(25+6)\mod 26=5
第三个数字为(31+10)\mod 26=15
将得到的数字补位组合起来得到一个6位的全数字密码：250515。

这组银行取款密码在这个时候已经和愚夫君的个人信息没有任何关联了。

示例2

公钥为莎士比亚在《奥赛罗》中的一段话：
“Good name in man and woman, dear my lord, is the immediate jewel of their souls: Who steals my purse steals trash; ’tis something, nothing.”

以《悲怆奏鸣曲第三乐章》里开始激情澎湃的部分乐谱化为简谱取了16个音节来作为私钥：
“3671271667656717”

以奥赛罗里的那段话包含标点不含空格的方式作为基准，依照取出的16个数字作为序列位数依次叠加取出字母，最终得到了这个oiwoamysmjfr:ale这串毫无意义的字符串，也更难被破译。

密码的存在是为了使身份凭证具有唯一性。以上提到的方法只是抛砖引玉，希望可以引发读者的思考，创造出属于自己的更安全的身份凭证。

#6 愚夫言

早在今年9月份，美国管理与预算办公室（OMB）发布了《联邦零信任战略》，同月美国网络安全与基础设施安全局(CISA)发布了《零信任成熟度模型》，其中都提到对目前一些验证机制的不信任。

10月28日，facebook将公司名称改为了“META”。从某种程度上来说，这一行为意味着元宇宙在从概念变为逐渐落地。而对于用户来说，这可能是私有身份更平行宇宙化的一个开端。人们对于网络空间平行宇宙的依赖度越高，私有身份凭证的重要性就越高。

在借助第三方机制或者设备的帮助下，提升网络空间身份凭证的安全性只能算是锦上添花。真正的关键节点还是在自身的安全意识，希望愚言社的本篇文章能给大家带来一些启发，提升自身安全意识。

PS.近日，NordPass公布2021最常见密码榜单：榜首仍是“123456”

一起建立更安全的密码世界，任重道远！