>> 一般人都认为自动化可以降低对安全人员的技术要求，而事实恰恰相反。

最近，研究机构Ponemon Institute对600名美国的安全职业人员就自动化对安全带来的影响进行了调查。根据调查，75%的组织表示他们的安全团队人手不足，同样比例的表示他们很难吸引合格的人才。40%的企业表示因为难以招到或者留住员工，他们会在自动化工具进行更多的投入。然而，76%的人认为引入AI和自动化实际上激化了问题，因为这些工具增大了对安全人员的要求。只有15%的受访者认为自动化工具确实帮助到了企业。

有受访者表示，自动化始终是一个工具，而工具依然需要人去使用：越是高级的工具就需要更高级的人才。另外，GIGO（无用输入，无用输出）对自动化依然是个问题。还有人认为，自动化现阶段依然不够成熟，无法完全跟上最新的威胁，而有经验的人员却更能应对未知的威胁。

>> 欧洲航天局近日与卫星通信公司SES Techcom S.A签订合同，开发QUARTZ（量子密码通信系统）。

QUARTZ卫星作为陆地通信的媒介，来保障通信安全。将随机生成的字符串编码成光（量）子纠缠形式，然后发射到卫星，再通过卫星发射回地面接收方作为密钥进行解译。一旦有人试图拦截或者篡改密钥的传输，由于量子纠缠的特性，光（量）子的纠缠状态会发生改变，从而通信方会发现有人试图在传输中进行攻击。量子纠缠的一大难题在于距离。

大部分量子密钥发布都是通过光纤，一般只能延伸数百公里。但是，如果通过卫星进行通信，距离将可以被大大延长。而QUARTZ并不是进入宇宙的量子通信卫星。

早在2016年，中国中科院通过量子科学实验卫星计划就发射了“墨子”卫星。2017年，这个计划成功试验，将量子纠缠状态保持了1200公里。

>> 最近，Twitter和GitHub都用了一种另类的方式来“庆祝”世界密码日（World Password Day）。

这两家公司都碰到了一个非常类似的问题。一般网站对用户密码进行验证的时候，并不是直接通过密码进行比较，而是在服务器端对密码进行加密储存后进行对用户输入的密码进行比对。对于Twitter和GitHub，他们都是用bcrypt对密码进行hash之后将hash值储存，在用户提交登录密码后进行hash值的对比。然而，最近这两家公司都发现自己系统中的漏洞，该漏洞会造成用户的密码在完成hash之前，以明文的形式储存在服务器内部的日志当中。

这两家公司都表示漏洞已被修复，并且该日志只在内部服务器中存在，暂时未发现任何泄露或者攻击的迹象。

Twitter和GitHub已经督促自己的用户修改密码。不过在最近的世界密码日赶上这摊事，这两家公司也算是对其他友商一大警醒。

#牛道消息20180509