在今年的世界密碼日前夕，Google公司正式發(fā)布了一項新服務(wù)—— 通行密鑰(Passkey)，幫助用戶(hù)以更簡(jiǎn)單、更安全的方式登錄谷歌賬號，以取代傳統的密碼口令登錄模式。

傳統密碼登錄驗證模式的缺陷非常明顯：首先，密碼口令在本質(zhì)上就是不安全的，特別是隨著(zhù)計算能力的提升，傳統密碼技術(shù)被破解的難度在不斷降低;其次，但很多情況下，弱密碼和密碼重用的情況普遍存在;此外，我們每個(gè)人都在使用十多個(gè)甚至近百個(gè)密碼，如何記住這么多的用戶(hù)名和密碼組合，還要定期更改，在管理上并不容易。

由于以上難以解決的不足和挑戰，企業(yè)面臨的最大安全風(fēng)險之一就是將不安全的密碼技術(shù)作為身份驗證的主要方法。在此背景下，包括微軟、蘋(píng)果和Google在內的領(lǐng)先科技廠(chǎng)商都在積極開(kāi)發(fā)一種更先進(jìn)的無(wú)密碼登錄技術(shù)和標準，以實(shí)現更高的安全性和保護性。

Passkey其實(shí)并不是一種新技術(shù)，而是密碼學(xué)中“非對稱(chēng)加密”在登錄認證中的一種創(chuàng )新應用。Passkey可以被理解為是“生物密碼”技術(shù) 和 “授權登錄” 技術(shù)的結合。用戶(hù)可以在A(yíng)ndroid 手機上創(chuàng )建一個(gè)基于公鑰加密的密鑰憑據，并需要對該憑據進(jìn)行生物特征識別，比如 “指紋” 或者 “面部識別” 等。

阻礙無(wú)密碼登錄技術(shù)應用的關(guān)鍵因素并不是技術(shù)本身的缺陷或限制，而是由于很多企業(yè)中身份和驗證管控的現狀。很多企業(yè)中，身份管理和身份驗證仍然是相對獨立的，而很多廣泛使用的應用程序在設計開(kāi)發(fā)時(shí)，并沒(méi)有合理考慮如何支持通行密鑰等無(wú)密碼登錄驗證新模式。盡管Passkey是一種解決身份安全驗證和用戶(hù)體驗的有效辦法。但是只有消除身份管理和身份驗證之間的隔斷，該技術(shù)才有希望真正在更多企業(yè)中落地應用。

周四，美國打車(chē)軟件Uber（優(yōu)步）前安全主管Joe Sullivan被判處三年緩刑。此前陪審團于2022年判定其犯有妨礙司法調查、非法掩蓋Uber數據盜竊案的罪名。

事情要從2016年Uber的重大安全漏洞說(shuō)起，當時(shí)有兩名黑客使用盜竊的憑據非法訪(fǎng)問(wèn)存儲在亞馬遜S3存儲服務(wù)上的Uber備份文件，其中包含5700萬(wàn)名乘客以及司機的詳細信息。兩人于2016年11月聯(lián)系了Uber并以此索要10萬(wàn)美元的贖金。

當時(shí)為了掩蓋數據泄露的丑聞，Uber前安全主管Joe Sullivan與黑客談判達成協(xié)定，雙方?jīng)Q定將這筆付給入侵者的勒索贖金偽裝成對白帽黑客的漏洞賞金，使該安全事件看起來(lái)像是典型的漏洞披露，而不是數據泄露。

一直到2017年11月，Uber才公布關(guān)于此事的數據泄露通知。這個(gè)時(shí)候該公司已就此事與美國各州達成了1.48億美元的和解協(xié)議，并向英國和荷蘭的數據保護機構支付了100多萬(wàn)美元的罰款。

注冊各類(lèi)應用、網(wǎng)站要盡量賦予最少的信息和權限：無(wú)論是網(wǎng)絡(luò )購物，還是虛擬社區注冊，或是在社交工具上發(fā)布信息，都會(huì )留下個(gè)人信息，填寫(xiě)時(shí)一定要謹慎小心。我們應該秉持信息最小化原則，如無(wú)必要不要將所有信息都填上，僅填一些必要信息就好了。即使發(fā)生信息泄露，作為掌握大量信息的各類(lèi)公司也不要幫助犯罪黑客掩蓋他們的蹤跡。不能讓客戶(hù)的問(wèn)題變得更糟，掩蓋罪犯竊取個(gè)人數據的犯罪企圖。

近日，VulnCheck 研究人員最近利用打印管理軟件 PaperCut 服務(wù)器中的一個(gè)嚴重漏洞，設計了一種新的利用方法，可以繞過(guò)所有當前安全檢測。

PaperCut為佳能、愛(ài)普生、施樂(lè )和幾乎所有其他主要打印機品牌生產(chǎn)打印管理軟件，其產(chǎn)品被7萬(wàn)多個(gè)組織使用，包括世界各地的政府機構、大學(xué)和大公司。此次利用的漏洞被追蹤為 CVE-2023-27350，CVSS評分高達9.8，是 PaperCut MF/NG 不當訪(fǎng)問(wèn)控制漏洞。PaperCut MF/NG 在 SetupCompleted 類(lèi)中包含一個(gè)不正確的訪(fǎng)問(wèn)控制漏洞，允許繞過(guò)身份驗證并在 SYSTEM 上下文中執行代碼。

VulnCheck研究人員公開(kāi)了兩個(gè)漏洞利用變體：1.使用 PaperCut 打印腳本接口執行 Windows 命令的漏洞（Horizon3.ai 漏洞的變體）；2.利用打印腳本接口投放惡意 JAR。攻擊者可以通過(guò)在登錄嘗試期間提供惡意用戶(hù)名和密碼，在易受攻擊的服務(wù)器上執行任意代碼。

雖然我們因安全漏洞影響大型組織而一直談?wù)撍?，但同樣的安全漏洞也適用于個(gè)人計算機和其他設備。個(gè)人用戶(hù)不太可能被黑客利用漏洞入侵，但很多計算機用戶(hù)都受到過(guò)惡意軟件的影響，不管是作為軟件包的一部分下載，還是通過(guò)網(wǎng)絡(luò )釣魚(yú)攻擊引入到計算機中。使用弱密碼和公共 Wi-Fi 網(wǎng)絡(luò )可能導致互聯(lián)網(wǎng)通信被侵害。

使用強密碼、對不同賬戶(hù)使用不同密碼或定期修改密碼，可以在受安全漏洞影響下減少信息泄露。及時(shí)更新廠(chǎng)商安全固件升級有助于減少損失。

微軟和AMD正在聯(lián)手開(kāi)發(fā)一種替代人工智能(AI)芯片市場(chǎng)領(lǐng)導者Nvidia Corp技術(shù)的產(chǎn)品。

微軟正在提供工程支持以加強AMD的工作，并正在合作開(kāi)發(fā)微軟自己的人工智能處理器，代號為“Athena”。這種合作是提高AI計算能力的努力的一部分，在聊天機器人（如ChatGPT和其他基于A(yíng)I的技術(shù)）蓬勃發(fā)展之后，這種需求是有需求的。微軟已投資100億美元創(chuàng )建ChatGPT，并計劃為其所有軟件產(chǎn)品添加類(lèi)似功能。Athena項目也體現了微軟對微芯片行業(yè)的深化。

近年來(lái)，該公司一直在英特爾公司前首席執行官的領(lǐng)導下積極發(fā)展其芯片制造部門(mén)。該集團擁有近1,000名員工，其中數百人從事Athena項目。微軟已經(jīng)在微芯片開(kāi)發(fā)上花費了大約20億美元。AMD首席執行官Lisa Su表示，人工智能是公司的戰略重點(diǎn)。AMD看到了為其最大客戶(hù)創(chuàng )建半定制芯片以用于其AI數據中心的機會(huì )。Microsoft的Athena團隊正在開(kāi)發(fā)用于學(xué)習和使用AI模型的GPU。該產(chǎn)品已經(jīng)在進(jìn)行內部測試，最早可能在明年提供更廣泛的使用。

AI芯片是人工智能的底層基石，同時(shí)也是AI算力的核心，需求有望率先擴張。AI芯片是用于加速人工智能訓練和推理任務(wù)的專(zhuān)用硬件，主要包括GPU、 FPGA、ASIC等，具有高度并行性和能夠實(shí)現低功耗高效計算的特點(diǎn)。隨著(zhù)AI應用的普及和算力需求的不斷擴大，AI芯片需求有望率先擴張。鑒于人工智能的快速發(fā)展及其與各行各業(yè)的融合，這一領(lǐng)域的成功可能是企業(yè)長(cháng)期發(fā)展的關(guān)鍵。

日前，蘇州市國家安全局會(huì )同市市場(chǎng)監督管理局、市統計局，對轄區內咨詢(xún)企業(yè)凱盛融英信息科技(上海)股份有限公司蘇州分公司開(kāi)展聯(lián)合執法行動(dòng)。

經(jīng)執法調查，企業(yè)因涉嫌危害國家安全，已被國家安全機關(guān)進(jìn)行依法依規處理，相關(guān)執法部門(mén)還聯(lián)合地方行政部門(mén)，督促企業(yè)認真履行反間諜安全防范責任義務(wù)，進(jìn)一步加強行業(yè)監督和指導，規范企業(yè)行為，推動(dòng)咨詢(xún)行業(yè)健康發(fā)展。

據江蘇廣電總臺報道，相關(guān)執法民警介紹，這些咨詢(xún)調查公司在承擔涉外咨詢(xún)項目過(guò)程中，頻繁聯(lián)系接觸地方黨政機關(guān)、重要國防科工等涉密人員，并以高額報酬聘請行業(yè)咨詢(xún)專(zhuān)家之名，非法獲取我國各類(lèi)敏感數據，對我國家安全構成了重大風(fēng)險隱患。國家安全機關(guān)將會(huì )同相關(guān)部門(mén)，依據《中華人民共和國反間諜法》等法律法規，加大對涉嫌違法違規開(kāi)展咨詢(xún)等危害國家安全活動(dòng)的執法力度，依法追究涉案公司和人員的法律責任。

近年來(lái)，國內咨詢(xún)業(yè)快速發(fā)展，在服務(wù)國家經(jīng)濟社會(huì )高質(zhì)量發(fā)展的同時(shí)也衍生出一系列問(wèn)題。部分咨詢(xún)調查機構片面追求業(yè)務(wù)規模的高速增長(cháng)，卻忽視了可能存在的國家安全風(fēng)險，未認真履行反間諜安全防范責任和義務(wù)，在黨政機關(guān)、涉密單位內發(fā)展“咨詢(xún)專(zhuān)家”為客戶(hù)提供敏感咨詢(xún)，危害我國家安全和發(fā)展利益。

相關(guān)企業(yè)應該高度重視國家安全，做好宣傳教育工作，配合相關(guān)部門(mén)做好防范、制止和依法懲治危害國家安全的行為。

據新加坡海峽時(shí)報報道，一名不愿透露姓名的婦女在一家奶茶店內看到一則印有而二維碼的貼紙，上面鼓勵顧客掃描二維碼填寫(xiě)一份關(guān)于“免費奶茶”的調查問(wèn)卷，隨即通過(guò)掃碼并在 Android手機上下載了第三方軟件填寫(xiě)調查問(wèn)卷。當晚，等這名婦女就寢后，這個(gè)第三方軟件就悄悄轉走了其賬戶(hù)中的2萬(wàn)美元。

該類(lèi)騙局特別“陰險”，掃描二維碼所下載的惡意軟件會(huì )索取受害者手機的麥克風(fēng)和攝像頭的訪(fǎng)問(wèn)權限，以及Android 輔助功能，以便控制手機屏幕。詐騙者以此暗中監控受害者的移動(dòng)銀行應用程序使用情況，并記下用戶(hù)在白天輸入的所有登錄憑證。隨后，詐騙者會(huì )在合適的時(shí)機，比如趁受害者晚上睡覺(jué)時(shí)進(jìn)行轉賬等惡意操作。

這類(lèi)惡意軟件本質(zhì)上并不新鮮，但通過(guò)二維碼廣告張貼在餐飲場(chǎng)所，往往讓消費者難以鑒別。2022年，新加坡警察部隊曾提醒公民不要濫用二維碼的Singpass 數字身份系統，詐騙者會(huì )要求受害者完成虛假調查，然后要求受害者使用他們的 Singpass 應用程序掃描 二維碼.然而，詐騙者提供的 Singpass 二維碼是從合法網(wǎng)站截取的屏幕截圖，通過(guò)掃描二維碼并在未經(jīng)進(jìn)一步檢查的情況下授權交易，受害者無(wú)意中讓詐騙者可以訪(fǎng)問(wèn)某些在線(xiàn)服務(wù)。

對于陌生人提供的二維碼、網(wǎng)站等信息，要有反詐騙意識，同時(shí)對飛來(lái)的橫財和好處特別是不熟悉的人所許諾的利益要深思和調查，要知道天上不會(huì )掉餡餅，克服占便宜心里，就不會(huì )對突如其來(lái)的橫財和好處欣喜若狂，要三思而后行。

一旦發(fā)現被騙，趕快想辦法及時(shí)掌握對方的有罪證據，迅速報警，要防止打草驚蛇，一方面裝做仍悶在鼓里，隨時(shí)掌握對方行蹤，一方面查明對方騙財的流向及時(shí)報案。

日前，身份驗證（IDV）技術(shù)提供商Regula發(fā)布了《身份欺詐與驗證：商業(yè)影響研究報告》。報告數據顯示，企業(yè)正處在一個(gè)技術(shù)日益復雜的欺詐環(huán)境中，在2022年，有95%的受訪(fǎng)企業(yè)報告在其組織內經(jīng)歷過(guò)身份欺詐事件，而企業(yè)組織平均遭遇的身份欺詐事件超過(guò)30起，其中26%的受訪(fǎng)中小型企業(yè)和38%的受訪(fǎng)大企業(yè)經(jīng)歷了超過(guò)50起身份欺詐事件，有47%的受訪(fǎng)企業(yè)因為身份欺詐損失超過(guò)30萬(wàn)美元。

在過(guò)去一年，有近一半的受訪(fǎng)企業(yè)（46%）遭遇過(guò)合成身份欺詐（synthetic identity fraud）。合成身份欺詐包括使用真實(shí)和虛假信息的混合，或者來(lái)自不同個(gè)人的真實(shí)信息的組合，來(lái)創(chuàng )建一個(gè)新的虛假身份。一旦合成身份被建立，欺詐者就可以用它來(lái)申請信用卡、貸款等金融服務(wù)，由于身份是虛構的，因此金融機構很難檢測和防止合成身份欺詐。

與此同時(shí)，生成式人工智能（AI）這樣的新技術(shù)也將助力犯罪分子更大規模地發(fā)起更多種類(lèi)的身份欺詐活動(dòng)，創(chuàng )建包括音頻、代碼、圖像、文本、模擬和視頻等在內的欺詐性?xún)热?。報告數據顯示，37%的受訪(fǎng)企業(yè)已經(jīng)遭遇過(guò)深度造假語(yǔ)音欺詐，有29%的受訪(fǎng)企業(yè)遭遇過(guò)深度造假視頻詐騙。

在巨大商業(yè)利益的驅動(dòng)下，身份欺詐的方式在不斷演變，而現有的欺詐發(fā)現模型普遍缺乏實(shí)時(shí)可見(jiàn)性，同時(shí)也難以實(shí)現廣泛的監測數據綜合分析。因此，對于企業(yè)組織而言，需要盡快部署更有效的增強型欺詐預防建模應用程序和工具來(lái)應對日益嚴峻的身份威脅，為安全分析師提供更具洞察力的智能化分析工具，以通過(guò)基于約束的規則來(lái)識別更多潛在的身份欺詐風(fēng)險。這就需要通過(guò)AI自動(dòng)化技術(shù)，以識別現有欺詐檢測技術(shù)無(wú)法察覺(jué)的異常。