>> 一般人都認(rèn)為自動(dòng)化可以降低對(duì)安全人員的技術(shù)要求，而事實(shí)恰恰相反。

最近，研究機(jī)構(gòu)Ponemon Institute對(duì)600名美國(guó)的安全職業(yè)人員就自動(dòng)化對(duì)安全帶來(lái)的影響進(jìn)行了調(diào)查。根據(jù)調(diào)查，75%的組織表示他們的安全團(tuán)隊(duì)人手不足，同樣比例的表示他們很難吸引合格的人才。40%的企業(yè)表示因?yàn)殡y以招到或者留住員工，他們會(huì)在自動(dòng)化工具進(jìn)行更多的投入。然而，76%的人認(rèn)為引入AI和自動(dòng)化實(shí)際上激化了問(wèn)題，因?yàn)檫@些工具增大了對(duì)安全人員的要求。只有15%的受訪者認(rèn)為自動(dòng)化工具確實(shí)幫助到了企業(yè)。

有受訪者表示，自動(dòng)化始終是一個(gè)工具，而工具依然需要人去使用：越是高級(jí)的工具就需要更高級(jí)的人才。另外，GIGO（無(wú)用輸入，無(wú)用輸出）對(duì)自動(dòng)化依然是個(gè)問(wèn)題。還有人認(rèn)為，自動(dòng)化現(xiàn)階段依然不夠成熟，無(wú)法完全跟上最新的威脅，而有經(jīng)驗(yàn)的人員卻更能應(yīng)對(duì)未知的威脅。

>> 歐洲航天局近日與衛(wèi)星通信公司SES Techcom S.A簽訂合同，開(kāi)發(fā)QUARTZ（量子密碼通信系統(tǒng)）。

QUARTZ衛(wèi)星作為陸地通信的媒介，來(lái)保障通信安全。將隨機(jī)生成的字符串編碼成光（量）子糾纏形式，然后發(fā)射到衛(wèi)星，再通過(guò)衛(wèi)星發(fā)射回地面接收方作為密鑰進(jìn)行解譯。一旦有人試圖攔截或者篡改密鑰的傳輸，由于量子糾纏的特性，光（量）子的糾纏狀態(tài)會(huì)發(fā)生改變，從而通信方會(huì)發(fā)現(xiàn)有人試圖在傳輸中進(jìn)行攻擊。量子糾纏的一大難題在于距離。

大部分量子密鑰發(fā)布都是通過(guò)光纖，一般只能延伸數(shù)百公里。但是，如果通過(guò)衛(wèi)星進(jìn)行通信，距離將可以被大大延長(zhǎng)。而QUARTZ并不是進(jìn)入宇宙的量子通信衛(wèi)星。

早在2016年，中國(guó)中科院通過(guò)量子科學(xué)實(shí)驗(yàn)衛(wèi)星計(jì)劃就發(fā)射了“墨子”衛(wèi)星。2017年，這個(gè)計(jì)劃成功試驗(yàn)，將量子糾纏狀態(tài)保持了1200公里。

>> 最近，Twitter和GitHub都用了一種另類(lèi)的方式來(lái)“慶祝”世界密碼日（World Password Day）。

這兩家公司都碰到了一個(gè)非常類(lèi)似的問(wèn)題。一般網(wǎng)站對(duì)用戶(hù)密碼進(jìn)行驗(yàn)證的時(shí)候，并不是直接通過(guò)密碼進(jìn)行比較，而是在服務(wù)器端對(duì)密碼進(jìn)行加密儲(chǔ)存后進(jìn)行對(duì)用戶(hù)輸入的密碼進(jìn)行比對(duì)。對(duì)于Twitter和GitHub，他們都是用bcrypt對(duì)密碼進(jìn)行hash之后將hash值儲(chǔ)存，在用戶(hù)提交登錄密碼后進(jìn)行hash值的對(duì)比。然而，最近這兩家公司都發(fā)現(xiàn)自己系統(tǒng)中的漏洞，該漏洞會(huì)造成用戶(hù)的密碼在完成hash之前，以明文的形式儲(chǔ)存在服務(wù)器內(nèi)部的日志當(dāng)中。

這兩家公司都表示漏洞已被修復(fù)，并且該日志只在內(nèi)部服務(wù)器中存在，暫時(shí)未發(fā)現(xiàn)任何泄露或者攻擊的跡象。

Twitter和GitHub已經(jīng)督促自己的用戶(hù)修改密碼。不過(guò)在最近的世界密碼日趕上這攤事，這兩家公司也算是對(duì)其他友商一大警醒。