IT業界社群及資訊平台

【入「侵」成功】安全專家估密碼5次即入侵侵Twitter帳戶

美國總統大選在即,Trump 雖然經常抨擊對手 Biden 低智商,但今次 Biden 終於可以盡情恥笑 Trump,事關侵侵的 Twitter 帳戶最近被踢爆無用 2FA(two-factors authentication) 之餘,更有安全專家在5次機會內猜出他的帳戶登入密碼,發圖證明自己成功進入侵侵帳戶,認真無面。

成日用 Twitter 發表自己政見的侵侵,帳戶有八千幾萬人關注,影響力非常大。早前侵侵的帳戶未有成為 Twitter 加密貨幣欺詐事件受害者,等大家以為他及 Twitter 在保護帳戶上做好功夫,不過,四年前曾成功進入侵侵帳戶的荷蘭安全專家 Victor Gevers 又再捲土重來,試圖不靠外力,純粹用人腦去猜度侵侵使用的密碼組合,結果試了 5 次便成功入侵! Gevers 第 5 次所使用的密碼為「maga2020!」,他解釋 maga 是侵侵經常使用的口號「Make America Great Again」的縮寫,而 Twitter 密碼要求包含數字及特別字元,所以加入「2020!」字串入密碼亦不難推斷。

點解 Gevers 可以輕易估到?事實上,侵侵選用的私人密碼有一定模式,四年前 Gevers 同兩位同事就從 LinkedIn 的用戶資料外洩事件中,通過反 hash 值演算還原侵侵的 LinkedIn 帳戶密碼,當時侵侵使用的密碼是「youarefired」,即是真人騷節目《Apprentice》內的炒人名言,Gevers 用來登入 twitter 居然成功,證明侵侵會幾個帳戶共用同一組密碼。既然侵侵鍾意用自己的名言,所以 Gevers 就嘗試從口號「Make America Great Again」入手,結果好快就成功。

通過今次事件,再次證明啟用 2FA 驗證的重要性,除非黑客有能力截取用作收取 2FA 驗證碼的裝置,否則不會如此輕易便可進入帳戶。另外,從侵侵這組密碼來看,雖然組合較弱,但至少都證明侵侵有跟隨一些安全建議,至少在今年有更新密碼。

資料來源:https://tcrn.ch/3meoZOv