美大選未重演政黨電郵外洩 可能是實體金鑰成功防駭
〔編譯管淑平/綜合報導〕美國今年總統大選尚未傳出如4年前的政黨電子郵件外洩事件,其中一個原因,可能與小小的USB隨身碟有關:包括總統當選人拜登的選舉團隊,今年許多選戰工作者採用實體安全金鑰,加強數位安全防護。
美國媒體CNBC 23日報導,今年大選與4年前一個不同之處,是政治人物、選戰工作人員和他們的家人、朋友,用Google、Yubico、GoTrust、TrustKey等業者生產的這種實體安全金鑰,作為登入電子郵件或其他網路服務帳號時的身分認證。
Google公司 9日在官方部落格表示,該公司與非營利組織「捍衛數位運動」(Defending Digital Campaigns)合作,並獲得聯邦選舉委員會(FEC)批准,提供1萬多組實體金鑰給各選戰團隊。消息人士透露,拜登的選戰團隊也發給旗下工作人員這樣的實體金鑰。
曾在美國國家標準暨技術研究院從事網路安全工作的律師事務所Venable主持律師葛蘭特(Jeremy Grant)說,「(今年)沒有發生像波德斯塔那樣的事情,是因為這東西有用」,意指2016年大選選戰期間,民主黨總統候選人希拉蕊競選團隊主席波德斯塔(John Podesta)電子郵件外洩事件。他說,「並非沒人企圖入侵這些帳戶,而是他們知道會發生這樣的事情,有工具防範」。
曾在歐巴馬和川普政府時期,在白宮擔任情報威脅工作,今年民主黨初選期間擔任參選人布塔朱吉(Pete Buttigieg)資訊安全長的巴齊歐(Mick Baccio)說,2016年之後,民主黨全國總部(DNC)「大幅度的清理門戶」,不再認為輸入單次有效密碼的登入方式安全,實體安全金鑰有助於阻止駭客取得帳戶控制權;DNC資訊安全長洛德(Bob Lord)指出,黨部發給3400名選務工作人員實體金鑰,並且有辦法查驗員工確實使用金鑰登入帳戶。
「捍衛數位運動」執行長凱薩(Michael Kaiser)說,在2020年選舉期間,他們接觸的選戰團隊,幾乎每一個都多少有需要多重認證的意識。
不過,實體安全金鑰的一個缺點是可能被弄丟。巴齊歐說,確認使用者使用金鑰登入帳戶,也是應用上的一項難處,他們正在思考如何改良,「或許在2024年,從一開始就發給每個人金鑰,甚至可能有法律要求使用」。