生活密碼：新技能get

湯永利

密碼學(xué)看似高深莫測(cè)，其實(shí)與我們的生活密切相關(guān)，扮演著保護(hù)公共及個(gè)人信息的看門人角色。在家喻戶曉的阿拉伯傳說(shuō)故事《一千零一夜》中有一個(gè)阿里巴巴與四十大盜的故事，當(dāng)阿里巴巴喊出“芝麻開(kāi)門”時(shí)，藏寶山洞就會(huì)緩緩打開(kāi)。在這里，阿里巴巴使用的就是密碼學(xué)中一種特殊的語(yǔ)音口令。

芝麻開(kāi)門：密碼無(wú)處不在

在日常生活中，當(dāng)用戶和數(shù)字設(shè)備交互，或者是通過(guò)客戶端登錄系統(tǒng)時(shí)，往往會(huì)用到一種被稱為身份認(rèn)證的安全技術(shù)。這種技術(shù)用于鑒別用戶身份的真?zhèn)涡?，從而保證之后一系列操作是合法有效的。在種類繁多的身份認(rèn)證技術(shù)中，口令認(rèn)證是目前最常用的方式，在登錄電子郵箱、使用自動(dòng)取款機(jī)業(yè)務(wù)和登錄許多數(shù)字應(yīng)用的過(guò)程中，都需要使用用戶名和口令來(lái)認(rèn)證用戶的合法身份。

第二次世界大戰(zhàn)期間，德國(guó)憑借恩尼格瑪密碼進(jìn)行軍事通信，英國(guó)雖然召集了圖靈等密碼天才，卻也對(duì)此一籌莫展。德軍規(guī)定發(fā)送情報(bào)時(shí)每次必須更換臨時(shí)密碼，可是有個(gè)發(fā)報(bào)員卻因?yàn)閳D省事，一直使用自己女友名字的縮寫作為臨時(shí)密碼。當(dāng)圖靈等人偶然發(fā)現(xiàn)這個(gè)規(guī)律時(shí)，破譯了當(dāng)時(shí)被認(rèn)為不可能被破解的機(jī)器。據(jù)專家估計(jì)，對(duì)恩尼格瑪密碼的破解，使第二次世界大戰(zhàn)足足縮短了兩年，拯救了2000萬(wàn)人的生命。

如何編一個(gè)安全又好記的口令

生活中接觸的各種微博、游戲賬號(hào)、軟件、銀行卡越來(lái)越多，需要記住的賬號(hào)及口令也越來(lái)越多。什么樣的口令才是安全的，如何才能安全地使用口令？這樣的問(wèn)題答案你可能已經(jīng)聽(tīng)膩了：口令設(shè)置得長(zhǎng)一些、混合數(shù)字字母符號(hào)、不要采用自己的生日、避免任何可能聯(lián)系到你本身的口令……到底要如何設(shè)置一個(gè)難以破解的口令呢？

（1）長(zhǎng)度很重要

口令的長(zhǎng)度直接影響口令強(qiáng)度。因?yàn)楣粽咴诓聹y(cè)口令時(shí)，最簡(jiǎn)單的方法就是把所有可能的口令都試一遍，如果口令達(dá)到一定長(zhǎng)度，攻擊者嘗試的這種攻擊方式在時(shí)間上變得不太可行。推薦口令長(zhǎng)度至少12～16位，以此來(lái)保證口令的安全性。

（2）不要使用明顯的信息作為口令

對(duì)于口令猜測(cè)，聰明的攻擊者還會(huì)使用社會(huì)工程學(xué)來(lái)試探你的口令，比如通過(guò)網(wǎng)絡(luò)搜索查找到關(guān)于你的所有信息如名字、生日、電話號(hào)、寵物名等。類似此類能夠輕易通過(guò)社交媒體獲取的信息都不要作為口令。還有一些攻擊者擁有口令字典，保存了網(wǎng)絡(luò)中常用的口令和一些系統(tǒng)默認(rèn)的口令等，對(duì)于過(guò)于隨意設(shè)置的口令很容易通過(guò)字典猜出。

我們?cè)谠O(shè)置口令時(shí)可以用別人的生日，但不建議用爸爸媽媽、子女等人的生日，可以用兄弟姐妹的生日，或者拿自己生日的數(shù)字調(diào)換一下順序。年月日換成日月年或者月日年，或者將數(shù)字10變成01等，如生日是20081007，我們可以將口令設(shè)置為018007。

（3）句子比單詞好

可以使用容易記憶的金句，比如喜歡的書或看過(guò)的電影中的句子，可以使用這些句子的首字母再加上特別的符號(hào)或數(shù)字，這樣保證能夠記住的同時(shí)，還增加了口令的長(zhǎng)度和復(fù)雜度。比如古詩(shī)“鋤禾日當(dāng)午，汗滴禾下土”，我們可以將其換成口令“chrdw-hdhxt”。

（4）使用特殊符號(hào)

當(dāng)創(chuàng)建一個(gè)口令時(shí)，不要忘了還能用空格、下劃線等特殊符號(hào)，這些符號(hào)往往會(huì)被口令破解工具忽略，適當(dāng)?shù)氖褂锰厥夥?hào)能夠讓“口令組”更復(fù)雜。例如：CK%R4T#9sk-1，這就是一個(gè)高強(qiáng)度的好口令，但是記下來(lái)比較困難。

（5）不要忽視郵箱口令

郵箱是口令重置的方式之一，為郵箱設(shè)置一個(gè)安全的口令并且定期進(jìn)行更改，對(duì)于其他所有賬戶來(lái)說(shuō)也就額外多了一層保護(hù)。比如網(wǎng)易郵箱口令可以設(shè)置為chrdw-hdhxt163，過(guò)3個(gè)月后可以更改為chrdw-hdhxt166等。

（6）頻繁更換

口令使用時(shí)間越長(zhǎng)，暴露的風(fēng)險(xiǎn)越高；在不同系統(tǒng)中設(shè)置相同的口令越頻繁，口令被攻擊者獲取的機(jī)會(huì)也越多。因此不要偷懶！給不同的賬戶設(shè)置不同的用戶名，并且不要重復(fù)使用口令！同時(shí)建議每個(gè)口令間隔60～90天就更換一次。比如我們用chrdwhdhxt 2018！作為基礎(chǔ)口令，那么QQ口令我們可以設(shè)置為Qchrdwhdhxt 2018！Q，淘寶口令我們可以設(shè)置為Tchrdwhdhxt 2018！B等，這樣給自己制定一個(gè)規(guī)則，使口令好記又安全。

知識(shí)鏈接：口令與密碼

口令也經(jīng)常被人們口頭稱為“密碼”，代表著內(nèi)容需要保密的數(shù)字或字母信息。它和密碼學(xué)上的密碼在定義和安全要求上有明顯的區(qū)別。密碼學(xué)上的密碼通常是指一類算法，經(jīng)過(guò)復(fù)雜的變換將輸入信息轉(zhuǎn)成表面與其無(wú)關(guān)的輸出信息；而口令認(rèn)證中的“密碼”無(wú)需特定的轉(zhuǎn)換，一般由用戶自主產(chǎn)生。從安全性要求上兩者也有差別：密碼學(xué)中的密碼本身是公開(kāi)的算法或標(biāo)準(zhǔn)；而后一種“密碼”需要絕對(duì)保密，一旦攻擊者獲得全部或部分信息之后，就不再安全了。