在今年的世界密碼日前夕，Google公司正式發(fā)布了一項新服務—— 通行密鑰(Passkey)，幫助用戶以更簡單、更安全的方式登錄谷歌賬號，以取代傳統(tǒng)的密碼口令登錄模式。

傳統(tǒng)密碼登錄驗證模式的缺陷非常明顯：首先，密碼口令在本質上就是不安全的，特別是隨著計算能力的提升，傳統(tǒng)密碼技術被破解的難度在不斷降低;其次，但很多情況下，弱密碼和密碼重用的情況普遍存在;此外，我們每個人都在使用十多個甚至近百個密碼，如何記住這么多的用戶名和密碼組合，還要定期更改，在管理上并不容易。

由于以上難以解決的不足和挑戰(zhàn)，企業(yè)面臨的最大安全風險之一就是將不安全的密碼技術作為身份驗證的主要方法。在此背景下，包括微軟、蘋果和Google在內的領先科技廠商都在積極開發(fā)一種更先進的無密碼登錄技術和標準，以實現(xiàn)更高的安全性和保護性。

Passkey其實并不是一種新技術，而是密碼學中“非對稱加密”在登錄認證中的一種創(chuàng)新應用。Passkey可以被理解為是“生物密碼”技術 和 “授權登錄” 技術的結合。用戶可以在Android 手機上創(chuàng)建一個基于公鑰加密的密鑰憑據(jù)，并需要對該憑據(jù)進行生物特征識別，比如 “指紋” 或者 “面部識別” 等。

阻礙無密碼登錄技術應用的關鍵因素并不是技術本身的缺陷或限制，而是由于很多企業(yè)中身份和驗證管控的現(xiàn)狀。很多企業(yè)中，身份管理和身份驗證仍然是相對獨立的，而很多廣泛使用的應用程序在設計開發(fā)時，并沒有合理考慮如何支持通行密鑰等無密碼登錄驗證新模式。盡管Passkey是一種解決身份安全驗證和用戶體驗的有效辦法。但是只有消除身份管理和身份驗證之間的隔斷，該技術才有希望真正在更多企業(yè)中落地應用。

周四，美國打車軟件Uber（優(yōu)步）前安全主管Joe Sullivan被判處三年緩刑。此前陪審團于2022年判定其犯有妨礙司法調查、非法掩蓋Uber數(shù)據(jù)盜竊案的罪名。

事情要從2016年Uber的重大安全漏洞說起，當時有兩名黑客使用盜竊的憑據(jù)非法訪問存儲在亞馬遜S3存儲服務上的Uber備份文件，其中包含5700萬名乘客以及司機的詳細信息。兩人于2016年11月聯(lián)系了Uber并以此索要10萬美元的贖金。

當時為了掩蓋數(shù)據(jù)泄露的丑聞，Uber前安全主管Joe Sullivan與黑客談判達成協(xié)定，雙方?jīng)Q定將這筆付給入侵者的勒索贖金偽裝成對白帽黑客的漏洞賞金，使該安全事件看起來像是典型的漏洞披露，而不是數(shù)據(jù)泄露。

一直到2017年11月，Uber才公布關于此事的數(shù)據(jù)泄露通知。這個時候該公司已就此事與美國各州達成了1.48億美元的和解協(xié)議，并向英國和荷蘭的數(shù)據(jù)保護機構支付了100多萬美元的罰款。

注冊各類應用、網(wǎng)站要盡量賦予最少的信息和權限：無論是網(wǎng)絡購物，還是虛擬社區(qū)注冊，或是在社交工具上發(fā)布信息，都會留下個人信息，填寫時一定要謹慎小心。我們應該秉持信息最小化原則，如無必要不要將所有信息都填上，僅填一些必要信息就好了。即使發(fā)生信息泄露，作為掌握大量信息的各類公司也不要幫助犯罪黑客掩蓋他們的蹤跡。不能讓客戶的問題變得更糟，掩蓋罪犯竊取個人數(shù)據(jù)的犯罪企圖。

近日，VulnCheck 研究人員最近利用打印管理軟件 PaperCut 服務器中的一個嚴重漏洞，設計了一種新的利用方法，可以繞過所有當前安全檢測。

PaperCut為佳能、愛普生、施樂和幾乎所有其他主要打印機品牌生產(chǎn)打印管理軟件，其產(chǎn)品被7萬多個組織使用，包括世界各地的政府機構、大學和大公司。此次利用的漏洞被追蹤為 CVE-2023-27350，CVSS評分高達9.8，是 PaperCut MF/NG 不當訪問控制漏洞。PaperCut MF/NG 在 SetupCompleted 類中包含一個不正確的訪問控制漏洞，允許繞過身份驗證并在 SYSTEM 上下文中執(zhí)行代碼。

VulnCheck研究人員公開了兩個漏洞利用變體：1.使用 PaperCut 打印腳本接口執(zhí)行 Windows 命令的漏洞（Horizon3.ai 漏洞的變體）；2.利用打印腳本接口投放惡意 JAR。攻擊者可以通過在登錄嘗試期間提供惡意用戶名和密碼，在易受攻擊的服務器上執(zhí)行任意代碼。

雖然我們因安全漏洞影響大型組織而一直談論它，但同樣的安全漏洞也適用于個人計算機和其他設備。個人用戶不太可能被黑客利用漏洞入侵，但很多計算機用戶都受到過惡意軟件的影響，不管是作為軟件包的一部分下載，還是通過網(wǎng)絡釣魚攻擊引入到計算機中。使用弱密碼和公共 Wi-Fi 網(wǎng)絡可能導致互聯(lián)網(wǎng)通信被侵害。

使用強密碼、對不同賬戶使用不同密碼或定期修改密碼，可以在受安全漏洞影響下減少信息泄露。及時更新廠商安全固件升級有助于減少損失。

微軟和AMD正在聯(lián)手開發(fā)一種替代人工智能(AI)芯片市場領導者Nvidia Corp技術的產(chǎn)品。

微軟正在提供工程支持以加強AMD的工作，并正在合作開發(fā)微軟自己的人工智能處理器，代號為“Athena”。這種合作是提高AI計算能力的努力的一部分，在聊天機器人（如ChatGPT和其他基于AI的技術）蓬勃發(fā)展之后，這種需求是有需求的。微軟已投資100億美元創(chuàng)建ChatGPT，并計劃為其所有軟件產(chǎn)品添加類似功能。Athena項目也體現(xiàn)了微軟對微芯片行業(yè)的深化。

近年來，該公司一直在英特爾公司前首席執(zhí)行官的領導下積極發(fā)展其芯片制造部門。該集團擁有近1,000名員工，其中數(shù)百人從事Athena項目。微軟已經(jīng)在微芯片開發(fā)上花費了大約20億美元。AMD首席執(zhí)行官Lisa Su表示，人工智能是公司的戰(zhàn)略重點。AMD看到了為其最大客戶創(chuàng)建半定制芯片以用于其AI數(shù)據(jù)中心的機會。Microsoft的Athena團隊正在開發(fā)用于學習和使用AI模型的GPU。該產(chǎn)品已經(jīng)在進行內部測試，最早可能在明年提供更廣泛的使用。

AI芯片是人工智能的底層基石，同時也是AI算力的核心，需求有望率先擴張。AI芯片是用于加速人工智能訓練和推理任務的專用硬件，主要包括GPU、 FPGA、ASIC等，具有高度并行性和能夠實現(xiàn)低功耗高效計算的特點。隨著AI應用的普及和算力需求的不斷擴大，AI芯片需求有望率先擴張。鑒于人工智能的快速發(fā)展及其與各行各業(yè)的融合，這一領域的成功可能是企業(yè)長期發(fā)展的關鍵。

日前，蘇州市國家安全局會同市市場監(jiān)督管理局、市統(tǒng)計局，對轄區(qū)內咨詢企業(yè)凱盛融英信息科技(上海)股份有限公司蘇州分公司開展聯(lián)合執(zhí)法行動。

經(jīng)執(zhí)法調查，企業(yè)因涉嫌危害國家安全，已被國家安全機關進行依法依規(guī)處理，相關執(zhí)法部門還聯(lián)合地方行政部門，督促企業(yè)認真履行反間諜安全防范責任義務，進一步加強行業(yè)監(jiān)督和指導，規(guī)范企業(yè)行為，推動咨詢行業(yè)健康發(fā)展。

據(jù)江蘇廣電總臺報道，相關執(zhí)法民警介紹，這些咨詢調查公司在承擔涉外咨詢項目過程中，頻繁聯(lián)系接觸地方黨政機關、重要國防科工等涉密人員，并以高額報酬聘請行業(yè)咨詢專家之名，非法獲取我國各類敏感數(shù)據(jù)，對我國家安全構成了重大風險隱患。國家安全機關將會同相關部門，依據(jù)《中華人民共和國反間諜法》等法律法規(guī)，加大對涉嫌違法違規(guī)開展咨詢等危害國家安全活動的執(zhí)法力度，依法追究涉案公司和人員的法律責任。

近年來，國內咨詢業(yè)快速發(fā)展，在服務國家經(jīng)濟社會高質量發(fā)展的同時也衍生出一系列問題。部分咨詢調查機構片面追求業(yè)務規(guī)模的高速增長，卻忽視了可能存在的國家安全風險，未認真履行反間諜安全防范責任和義務，在黨政機關、涉密單位內發(fā)展“咨詢專家”為客戶提供敏感咨詢，危害我國家安全和發(fā)展利益。

相關企業(yè)應該高度重視國家安全，做好宣傳教育工作，配合相關部門做好防范、制止和依法懲治危害國家安全的行為。

據(jù)新加坡海峽時報報道，一名不愿透露姓名的婦女在一家奶茶店內看到一則印有而二維碼的貼紙，上面鼓勵顧客掃描二維碼填寫一份關于“免費奶茶”的調查問卷，隨即通過掃碼并在 Android手機上下載了第三方軟件填寫調查問卷。當晚，等這名婦女就寢后，這個第三方軟件就悄悄轉走了其賬戶中的2萬美元。

該類騙局特別“陰險”，掃描二維碼所下載的惡意軟件會索取受害者手機的麥克風和攝像頭的訪問權限，以及Android 輔助功能，以便控制手機屏幕。詐騙者以此暗中監(jiān)控受害者的移動銀行應用程序使用情況，并記下用戶在白天輸入的所有登錄憑證。隨后，詐騙者會在合適的時機，比如趁受害者晚上睡覺時進行轉賬等惡意操作。

這類惡意軟件本質上并不新鮮，但通過二維碼廣告張貼在餐飲場所，往往讓消費者難以鑒別。2022年，新加坡警察部隊曾提醒公民不要濫用二維碼的Singpass 數(shù)字身份系統(tǒng)，詐騙者會要求受害者完成虛假調查，然后要求受害者使用他們的 Singpass 應用程序掃描 二維碼.然而，詐騙者提供的 Singpass 二維碼是從合法網(wǎng)站截取的屏幕截圖，通過掃描二維碼并在未經(jīng)進一步檢查的情況下授權交易，受害者無意中讓詐騙者可以訪問某些在線服務。

對于陌生人提供的二維碼、網(wǎng)站等信息，要有反詐騙意識，同時對飛來的橫財和好處特別是不熟悉的人所許諾的利益要深思和調查，要知道天上不會掉餡餅，克服占便宜心里，就不會對突如其來的橫財和好處欣喜若狂，要三思而后行。

一旦發(fā)現(xiàn)被騙，趕快想辦法及時掌握對方的有罪證據(jù)，迅速報警，要防止打草驚蛇，一方面裝做仍悶在鼓里，隨時掌握對方行蹤，一方面查明對方騙財?shù)牧飨蚣皶r報案。

日前，身份驗證（IDV）技術提供商Regula發(fā)布了《身份欺詐與驗證：商業(yè)影響研究報告》。報告數(shù)據(jù)顯示，企業(yè)正處在一個技術日益復雜的欺詐環(huán)境中，在2022年，有95%的受訪企業(yè)報告在其組織內經(jīng)歷過身份欺詐事件，而企業(yè)組織平均遭遇的身份欺詐事件超過30起，其中26%的受訪中小型企業(yè)和38%的受訪大企業(yè)經(jīng)歷了超過50起身份欺詐事件，有47%的受訪企業(yè)因為身份欺詐損失超過30萬美元。

在過去一年，有近一半的受訪企業(yè)（46%）遭遇過合成身份欺詐（synthetic identity fraud）。合成身份欺詐包括使用真實和虛假信息的混合，或者來自不同個人的真實信息的組合，來創(chuàng)建一個新的虛假身份。一旦合成身份被建立，欺詐者就可以用它來申請信用卡、貸款等金融服務，由于身份是虛構的，因此金融機構很難檢測和防止合成身份欺詐。

與此同時，生成式人工智能（AI）這樣的新技術也將助力犯罪分子更大規(guī)模地發(fā)起更多種類的身份欺詐活動，創(chuàng)建包括音頻、代碼、圖像、文本、模擬和視頻等在內的欺詐性內容。報告數(shù)據(jù)顯示，37%的受訪企業(yè)已經(jīng)遭遇過深度造假語音欺詐，有29%的受訪企業(yè)遭遇過深度造假視頻詐騙。

在巨大商業(yè)利益的驅動下，身份欺詐的方式在不斷演變，而現(xiàn)有的欺詐發(fā)現(xiàn)模型普遍缺乏實時可見性，同時也難以實現(xiàn)廣泛的監(jiān)測數(shù)據(jù)綜合分析。因此，對于企業(yè)組織而言，需要盡快部署更有效的增強型欺詐預防建模應用程序和工具來應對日益嚴峻的身份威脅，為安全分析師提供更具洞察力的智能化分析工具，以通過基于約束的規(guī)則來識別更多潛在的身份欺詐風險。這就需要通過AI自動化技術，以識別現(xiàn)有欺詐檢測技術無法察覺的異常。