站在网络安全前沿的人,也免不了犯低级错误。这也是RSAC 2026上一场演讲里要传达的教训:一位密码学先驱聊起去年一个特大翻车——因为有人弄丢了加密密钥的一部分,导致整个选举失败。

(嗯。)

在一次小组讨论里聊到密码学时,惠特菲尔德·迪菲提到了国际密码学研究协会那场倒霉的领导选举,去年11月举行的。为了防止串通和作弊,这次选举要求三个受托人每人拿一部分解密用的密钥。不幸的是,有个成员弄丢了自己那部分密钥,结果选举结果就永远被加密锁死了。

那么,对我们普通人来说,这里面有什么经验可学呢?我觉得有那么几条。首先,每个人都会因为人为错误而栽跟头——你得承认,这些错误暴露了我们的弱点。Diffie本人也提到了这一点,他说密钥管理“一方面需要做很多工作,另一方面又经常被忽略。”在这种情况下,IACR的做法是,下个月重新搞了一次选举,并且改了选举系统,以防以后出同样的问题。

其次,如果你犯了一个愚蠢的错误,别藏着掖着。分享你的故事能帮到别人。去年,安全大牛特洛伊·亨特中了钓鱼骗局,导致他邮件列表订阅者的信息泄露。他决定向博客订阅者详细说明情况——这举动提醒了所有人:躲开危险不光是靠聪明。有时,你必须提防自己的人性弱点。(这里,是疲劳惹的祸。)

如何构建这些防御措施?想想如果你的正常操作行不通了,你需要哪些信息——比如你忘记了密码管理器的登录信息、丢了双重验证的设备,或者发现加密硬盘快坏了。(遇到这些情况要做什么?设置恢复密钥、准备备用的双重验证方式,并保存好你的BitLocker密钥。)

你可以把这想象成做数字灾难的准备工作,好比是在家备好应对环境灾难的东西那样。