反面典型?卢浮宫惊现“达芬奇密码” 飞天诚信:安保升级还需部署MFA
2025年10月19日,法国卢浮宫发生重大盗窃案,8件具有历史价值的珠宝被盗,包括多件皇室冠冕和稀世宝石套装。巴黎检察院检察官洛尔·贝屈奥表示,当地时间19日9时30分左右,4名蒙面人来到卢浮宫外,分工配合操作升降装置,从建筑物外部阳台,潜入藏有大量珍宝的阿波罗长廊作案。总统马克龙在当晚声明中强调,这起盗窃是“对国家历史与记忆的侵犯”,并承诺全力追回藏品。目前已有若干嫌疑人被起诉,但多数失窃文物仍下落不明。
图源:央视网这起事件暴露了卢浮宫安保的严重漏洞。法国文化部长达蒂受访时强调,在总统马克龙年初宣布的“卢浮宫新文艺复兴计划”框架下,博物馆正在部署新的安保体系,包括新一代监控摄像系统、周界入侵检测系统和新的中央安保指挥中心。然而,这些措施似乎尚未完全覆盖阿波罗长廊。
法国《解放报》对卢浮宫的安全系统进行了调查,发现2014年法国国家网络安全局对卢浮宫的一份审计报告中显示,视频监控服务器的密码(口令)竟然是“louvre”——卢浮宫的拼写。此外,卢浮宫所使用的一款由泰雷兹集团开发的安保程序,密码也仅为“thales”(即泰雷兹法语拼写)。雪上加霜的是,这些系统运行在早已停止支持的Windows 2000、WindowsXP和WindowsServer 2003等老旧操作系统。法国国家网络安全局在审计报告中指出,卢浮宫安保系统存在巨大漏洞,敦促博物馆至少尽快修改密码。然而,2015年10月的审计报告显示,这些问题并没有解决,直到2017年,审计报告依然提示“经核查,卢浮宫整体安防存在重大缺陷”。2025年初,巴黎警察局启动新一轮的安防审计,参与此次审计的警长文森特·阿内罗10月29日在参议院表示,博物馆的信息系统“亟须现代化改造”,安防漏洞依然存在,他认为卢浮宫管理层完全清楚问题所在,整个安保系统都需要重新审视。
在2023年11月30日召开的公安部新闻发布会上,我国公安机关提示要高度重视“两高一弱”的问题,即高危漏洞、高危端口以及弱口令。其中,
高危漏洞:指在软件、操作系统、网络设备等信息技术产品中存在的严重安全缺陷。高危漏洞极易被黑客利用导致信息泄露、系统崩溃、权限被非法获取等严重后果。
高危端口:指在计算机网络中,由于其默认服务或功能的特性,容易被攻击者利用来进行非法访问、入侵或攻击的网络端口。
弱口令:指那些强度较弱、容易被猜测或破解的密码。过于简单的密码很容易被黑客通过暴力破解的方式攻破。
从弱口令、老旧系统到高危端口,卢浮宫几乎“全部踩雷”,是典型的“两高一弱”反面教材。
对于黑客、黑灰产来说,针对企业的“两高一弱”等网络安全风险隐患发动攻击,具有低投入、高收益的攻击特点。在攻防场景中,“两高一弱”所代表的高危隐患也一直是攻击者的首要突破口,通过“两高一弱”进行攻击,往往能够迅速突破企业的防线,因此在历年全国攻防演练数据中,以“两高一弱”隐患为入口打进企业内网的比率一直“遥遥领先”。与此同时,在网络安全专项行动中,企业也往往因为“两高一弱”隐患被国家网络安全通报中心通报。因此,“两高一弱”一直以来都是困扰众多企业的安全短板,也是企业安全建设投入是否有效的核心校验项。
卢浮宫的一名安保人员指出,卢浮宫与法国文化部在文化遗产保护岗位上的削减开支,是导致此次事件发生的重要原因之一。
图源:央视网与之相似的是,许多中小型企业网络安全预算有限,缺乏专职团队,这导致了在网络安全策略和执行方面存在薄弱环节。在资源有限的情况下,可以优先采取以下经济实惠的措施:
对所有关键系统部署多因素身份认证(#MFA)。这能为密码(口令)提供额外的保护;
及时更新所有软件(包括操作系统和插件)使其保持最新版本,避免它们存在可能被利用的已知漏洞;
对团队进行网络安全培训(特别是针对网络钓鱼邮件),提高团队成员对网络钓鱼邮件的甄别能力。
这些措施成本不高,对“两高一弱”问题的改善却可称得上立竿见影,能够有效抵御大多数自动化的网络攻击。
飞天诚信在身份认证领域深耕二十余年,构建了“云、端、芯”全链条自主知识产权技术体系。飞天诚信立足于身份认证为主的信息安全产品,是嵌入式操作系统及数字安全系统整体解决方案的提供商和服务商,以为各行业客户提供嵌入式软件产品和服务为核心价值,在网络银行安全交易、支付卡及服务、移动支付安全、云认证、身份认证及软件保护等多个领域提供完整的服务和解决方案。飞天诚信向中小企业推荐以下MFA解决方案:
弱密码加固MFA解决方案:动态口令(#OTP)是一种基于密码技术的一次性口令机制。用户无需记忆口令,也无需手工更改口令,口令通过用户持有的客户端器件生成,并基于一定的算法与服务端形成同步,从而作为证明用户身份的依据。部署飞天诚信动态令牌认证系统,构建“口令+动态口令”的多因素身份认证机制(MFA),有效地缓解弱口令带来的安全风险。
“无密码”MFA解决方案:“无密码”(Passwordless)是#FIDO联盟提出的概念。FIDO 联盟与W3C 合作创建了 “无密码” 登录标准(WebAuthn),该标准已经被数十亿设备和所有现代网络浏览器所支持。作为FIDO 董事会成员,飞天诚信构建了丰富的“无密码”产品线,为“无密码”的推广做出了扎实的贡献。用户可以通过USB-A、USB-C接口、NFC或BLE接口将飞天诚信FIDO Security Key连接到电脑或手机,快速、安全地完成“无密码”登录。飞天诚信FIDO Security Key现已支持Google、AWS等众多在线服务。
卢浮宫的失窃事件不仅是一次文化遗产的损失,更是一记响亮的警钟。它提醒我们:在数字化时代,任何忽视“两高一弱”的组织,都可能成为下一个攻击目标。网络安全不是可选项,而是底线。唯有从技术、制度、意识三方面协同发力,才能真正筑牢数字防线,守护信息安全的第一道门。