论文部分内容阅读
密码学看似高深莫测,其实与我们的生活密切相关,扮演着保护公共及个人信息的看门人角色。在家喻户晓的阿拉伯传说故事《一千零一夜》中有一个阿里巴巴与四十大盗的故事,当阿里巴巴喊出“芝麻开门”时,藏宝山洞就会缓缓打开。在这里,阿里巴巴使用的就是密码学中一种特殊的语音口令。
在日常生活中,当用户和数字设备交互,或者是通过客户端登录系统时,往往会用到一种被称为身份认证的安全技术。这种技术用于鉴别用户身份的真伪性,从而保证之后一系列操作是合法有效的。在种类繁多的身份认证技术中,口令认证是目前最常用的方式,在登录电子邮箱、使用自动取款机业务和登录许多数字应用的过程中,都需要使用用户名和口令来认证用户的合法身份。
第二次世界大战期间,德国凭借恩尼格玛密码进行军事通信,英国虽然召集了图灵等密码天才,却也对此一筹莫展。德军规定发送情报时每次必须更换临时密码,可是有个发报员却因为图省事,一直使用自己女友名字的缩写作为临时密码。当图灵等人偶然发现这个规律时,破译了当时被认为不可能被破解的机器。据专家估计,对恩尼格玛密码的破解,使第二次世界大战足足缩短了两年,拯救了2000万人的生命。
生活中接触的各种微博、游戏账号、软件、银行卡越来越多,需要记住的账号及口令也越来越多。什么样的口令才是安全的,如何才能安全地使用口令?这样的问题答案你可能已经听腻了:口令设置得长一些、混合数字字母符号、不要采用自己的生日、避免任何可能联系到你本身的口令……到底要如何设置一个难以破解的口令呢?
(1)长度很重要
口令的长度直接影响口令强度。因为攻击者在猜测口令时,最简单的方法就是把所有可能的口令都试一遍,如果口令达到一定长度,攻击者尝试的这种攻击方式在时间上变得不太可行。推荐口令长度至少12~16位,以此来保证口令的安全性。
(2)不要使用明显的信息作为口令
对于口令猜测,聪明的攻击者还会使用社会工程学来试探你的口令,比如通过网络搜索查找到关于你的所有信息如名字、生日、电话号、宠物名等。类似此类能够轻易通过社交媒体获取的信息都不要作为口令。还有一些攻击者拥有口令字典,保存了网络中常用的口令和一些系统默认的口令等,对于过于随意设置的口令很容易通过字典猜出。
我们在设置口令时可以用别人的生日,但不建议用爸爸妈妈、子女等人的生日,可以用兄弟姐妹的生日,或者拿自己生日的数字调换一下顺序。年月日换成日月年或者月日年,或者将数字10变成01等,如生日是20081007,我们可以将口令设置为018007。
(3)句子比单词好
可以使用容易记忆的金句,比如喜欢的书或看过的电影中的句子,可以使用这些句子的首字母再加上特别的符号或数字,这样保证能够记住的同时,还增加了口令的长度和复杂度。比如古诗“锄禾日当午,汗滴禾下土”,我们可以将其换成口令“chrdw-hdhxt”。
(4)使用特殊符号
当创建一个口令时,不要忘了还能用空格、下划线等特殊符号,这些符號往往会被口令破解工具忽略,适当的使用特殊符号能够让“口令组”更复杂。例如:CK%R4T#9sk-1,这就是一个高强度的好口令,但是记下来比较困难。
(5)不要忽视邮箱口令
邮箱是口令重置的方式之一,为邮箱设置一个安全的口令并且定期进行更改,对于其他所有账户来说也就额外多了一层保护。比如网易邮箱口令可以设置为chrdw-hdhxt163,过3个月后可以更改为chrdw-hdhxt166等。
(6)频繁更换
口令使用时间越长,暴露的风险越高;在不同系统中设置相同的口令越频繁,口令被攻击者获取的机会也越多。因此不要偷懒!给不同的账户设置不同的用户名,并且不要重复使用口令!同时建议每个口令间隔60~90天就更换一次。比如我们用chrdwhdhxt 2018!作为基础口令,那么QQ口令我们可以设置为Qchrdwhdhxt 2018!Q,淘宝口令我们可以设置为Tchrdwhdhxt 2018!B等,这样给自己制定一个规则,使口令好记又安全。
口令也经常被人们口头称为“密码”,代表着内容需要保密的数字或字母信息。它和密码学上的密码在定义和安全要求上有明显的区别。密码学上的密码通常是指一类算法,经过复杂的变换将输入信息转成表面与其无关的输出信息;而口令认证中的“密码”无需特定的转换,一般由用户自主产生。从安全性要求上两者也有差别:密码学中的密码本身是公开的算法或标准;而后一种“密码”需要绝对保密,一旦攻击者获得全部或部分信息之后,就不再安全了。
芝麻开门:密码无处不在
在日常生活中,当用户和数字设备交互,或者是通过客户端登录系统时,往往会用到一种被称为身份认证的安全技术。这种技术用于鉴别用户身份的真伪性,从而保证之后一系列操作是合法有效的。在种类繁多的身份认证技术中,口令认证是目前最常用的方式,在登录电子邮箱、使用自动取款机业务和登录许多数字应用的过程中,都需要使用用户名和口令来认证用户的合法身份。
第二次世界大战期间,德国凭借恩尼格玛密码进行军事通信,英国虽然召集了图灵等密码天才,却也对此一筹莫展。德军规定发送情报时每次必须更换临时密码,可是有个发报员却因为图省事,一直使用自己女友名字的缩写作为临时密码。当图灵等人偶然发现这个规律时,破译了当时被认为不可能被破解的机器。据专家估计,对恩尼格玛密码的破解,使第二次世界大战足足缩短了两年,拯救了2000万人的生命。
如何编一个安全又好记的口令
生活中接触的各种微博、游戏账号、软件、银行卡越来越多,需要记住的账号及口令也越来越多。什么样的口令才是安全的,如何才能安全地使用口令?这样的问题答案你可能已经听腻了:口令设置得长一些、混合数字字母符号、不要采用自己的生日、避免任何可能联系到你本身的口令……到底要如何设置一个难以破解的口令呢?
(1)长度很重要
口令的长度直接影响口令强度。因为攻击者在猜测口令时,最简单的方法就是把所有可能的口令都试一遍,如果口令达到一定长度,攻击者尝试的这种攻击方式在时间上变得不太可行。推荐口令长度至少12~16位,以此来保证口令的安全性。
(2)不要使用明显的信息作为口令
对于口令猜测,聪明的攻击者还会使用社会工程学来试探你的口令,比如通过网络搜索查找到关于你的所有信息如名字、生日、电话号、宠物名等。类似此类能够轻易通过社交媒体获取的信息都不要作为口令。还有一些攻击者拥有口令字典,保存了网络中常用的口令和一些系统默认的口令等,对于过于随意设置的口令很容易通过字典猜出。
我们在设置口令时可以用别人的生日,但不建议用爸爸妈妈、子女等人的生日,可以用兄弟姐妹的生日,或者拿自己生日的数字调换一下顺序。年月日换成日月年或者月日年,或者将数字10变成01等,如生日是20081007,我们可以将口令设置为018007。
(3)句子比单词好
可以使用容易记忆的金句,比如喜欢的书或看过的电影中的句子,可以使用这些句子的首字母再加上特别的符号或数字,这样保证能够记住的同时,还增加了口令的长度和复杂度。比如古诗“锄禾日当午,汗滴禾下土”,我们可以将其换成口令“chrdw-hdhxt”。
(4)使用特殊符号
当创建一个口令时,不要忘了还能用空格、下划线等特殊符号,这些符號往往会被口令破解工具忽略,适当的使用特殊符号能够让“口令组”更复杂。例如:CK%R4T#9sk-1,这就是一个高强度的好口令,但是记下来比较困难。
(5)不要忽视邮箱口令
邮箱是口令重置的方式之一,为邮箱设置一个安全的口令并且定期进行更改,对于其他所有账户来说也就额外多了一层保护。比如网易邮箱口令可以设置为chrdw-hdhxt163,过3个月后可以更改为chrdw-hdhxt166等。
(6)频繁更换
口令使用时间越长,暴露的风险越高;在不同系统中设置相同的口令越频繁,口令被攻击者获取的机会也越多。因此不要偷懒!给不同的账户设置不同的用户名,并且不要重复使用口令!同时建议每个口令间隔60~90天就更换一次。比如我们用chrdwhdhxt 2018!作为基础口令,那么QQ口令我们可以设置为Qchrdwhdhxt 2018!Q,淘宝口令我们可以设置为Tchrdwhdhxt 2018!B等,这样给自己制定一个规则,使口令好记又安全。
知识链接:口令与密码
口令也经常被人们口头称为“密码”,代表着内容需要保密的数字或字母信息。它和密码学上的密码在定义和安全要求上有明显的区别。密码学上的密码通常是指一类算法,经过复杂的变换将输入信息转成表面与其无关的输出信息;而口令认证中的“密码”无需特定的转换,一般由用户自主产生。从安全性要求上两者也有差别:密码学中的密码本身是公开的算法或标准;而后一种“密码”需要绝对保密,一旦攻击者获得全部或部分信息之后,就不再安全了。