基于社會(huì)工程學(xué)探討密碼破解問(wèn)題與有效設(shè)置保管方法,大學(xué)論文內(nèi)容摘要：隨著互聯(lián)網(wǎng)各平臺(tái)相繼以形式化手段禁止設(shè)置弱口令，令不法分子暴力破解密碼的難度再度升級(jí)。因各平臺(tái)密碼的要求并非統(tǒng)一，加劇了用戶進(jìn)行密碼設(shè)置和記憶的難度;但若降低記憶難度，范用一個(gè)強(qiáng)健密碼，則會(huì)導(dǎo)致撞庫(kù)風(fēng)險(xiǎn)的存在。本文從社會(huì)工程學(xué)的角度分析密碼破解問(wèn)題，進(jìn)而分析當(dāng)前密碼設(shè)置所面臨的風(fēng)險(xiǎn)和密碼保管的窘境。提出基于場(chǎng)景、樹(shù)狀構(gòu)造、編碼和擴(kuò)散混淆的四種密碼設(shè)置方式方法，并研究出一套自建密碼設(shè)置模型和二次處理加記錄的密碼保管方式方法。本文關(guān)鍵詞語(yǔ)：社會(huì)工程學(xué);密碼;暴力破解;ResearchonthesettingandkeepingofpersonalpasswordfromtheperspectiveofsocialengineeringZHANGShuoWUXiaSchoolofCyberSecurityandInformationLaw,ChongqingUniversityofPostsandTelecommunicationsAbstract：AsvariousplatformsontheInternetsuccessivelyforbidsettingweakpasswordsbyformalmeans,thedifficultyofviolentcrackingofpasswordsbycriminalshasonceagainescalated.Becausethepasswordrequirementsofeachplatformarenotuniform,itmakesitmoredifficultforuserstosetandrememberpasswords.However,ifthedifficultyofmemoryisreduced,usingarobustpasswordwillleadtotheriskofcollidingwiththelibrary.Nowweanalyzetheproblemofpasswordcrackingfromtheperspectiveofsocialengineering,andthenanalyzetherisksfacedbythecurrentpasswordsettingandthedilemmaofpasswordstorage.Fourpasswordsettingmethodsbasedonscene,treestructure,encodinganddiffusionambiguityareproposed,andaselfbuiltpasswordsettingmodelandapasswordstoragemethodofsecondaryprocessingrecordaredeveloped.0引言在日常生活中，每個(gè)人都會(huì)面對(duì)眾多(例如購(gòu)物、學(xué)術(shù)、考試、聊天、娛樂(lè)、辦公等系統(tǒng)或平臺(tái))的密碼進(jìn)行設(shè)置和記憶。從學(xué)童的密碼文具盒到銀行中的保險(xiǎn)柜，從手機(jī)屏幕鎖到辦公系統(tǒng)的登錄，處處需要密碼，密碼的重要性不言而喻。假如個(gè)人密碼遭到破解，輕則個(gè)人信息被泄露或被盜用，重則導(dǎo)致個(gè)人財(cái)產(chǎn)損失甚至企業(yè)的安全事故[1]。對(duì)于密碼的設(shè)置是方式方法論的問(wèn)題，其趨同于網(wǎng)絡(luò)協(xié)議(在計(jì)算機(jī)網(wǎng)絡(luò)中雙方實(shí)現(xiàn)通信，必須遵循一些事先制定好的規(guī)則和標(biāo)準(zhǔn);這些為進(jìn)行數(shù)據(jù)交換而建立的規(guī)則、語(yǔ)義或標(biāo)準(zhǔn)稱為網(wǎng)絡(luò)協(xié)議)[2]。一般而言，日常碰到的密碼(只考慮密碼構(gòu)成，暫不考慮密碼長(zhǎng)度)有純數(shù)字組合、混合字符組合和全字符組合，且在設(shè)置密碼的時(shí)候應(yīng)避開(kāi)弱口令。綜合而言，無(wú)論是密碼的設(shè)置還是保管都是一個(gè)較為棘手的事情。1研究前提1.1研究對(duì)象之密碼的界定密碼在中文里是口令(password)的通稱[3]。密碼一詞從漢語(yǔ)語(yǔ)意上分析是指機(jī)密的代碼。密碼從無(wú)到有直到發(fā)展至如今，其包含了二種語(yǔ)義:(1)密碼學(xué)中所指的密碼(密碼體制);(2)日常生活中的密碼(口令)。1.1.1密碼學(xué)中的密碼在幾千年前密碼就以行幫隱語(yǔ)和文字猜謎的方式使用，后來(lái)將密碼應(yīng)用到戰(zhàn)爭(zhēng)當(dāng)中，用來(lái)傳遞戰(zhàn)事信息，密碼發(fā)揮了關(guān)鍵性的作用。隨著歷史發(fā)展，對(duì)于密碼的研究，逐步演變?yōu)槊艽a學(xué)，其目的就是讓通信雙方能夠在一個(gè)不安全的信道上進(jìn)行保密通信[4]。密碼學(xué)研究的是密碼編碼和破譯的技術(shù)與方式方法，通過(guò)研究密碼變化的客觀規(guī)律，將其應(yīng)用于編制密碼，實(shí)現(xiàn)保密通信的技術(shù)被稱為編碼學(xué);通過(guò)研究密碼變化的客觀規(guī)律，并將其應(yīng)用于破譯密碼，實(shí)現(xiàn)獲取通信信息的技術(shù)被稱為破譯學(xué)。編碼學(xué)和破譯學(xué)統(tǒng)稱為密碼學(xué)[5]。密碼學(xué)中的密碼，是指通信雙方按約定的法則進(jìn)行信息特殊變換的一種重要保密手段。按照這些法則，將明文變換為密文，稱為加密變換;將密文變換為明文，稱為解密變換[6]。1.1.2本文研究的密碼本文研究的密碼，指的用戶打開(kāi)設(shè)備或者登錄系統(tǒng)的字符串或稱為口令，密碼的使用是進(jìn)行身份的認(rèn)證。用戶對(duì)密碼的設(shè)置，主要是為了用戶對(duì)所擁資源的掌控，密碼則是資源的鑰匙。對(duì)于密碼的設(shè)置，根據(jù)學(xué)者的統(tǒng)計(jì)情況見(jiàn)表1[7]。由表1可見(jiàn)，密碼設(shè)置無(wú)外乎包括下面4個(gè)方面:(1)與用戶本身相關(guān)的信息;(2)與平臺(tái)(系統(tǒng)/設(shè)備)相關(guān)的信息;(3)自定義的特殊規(guī)則;(4)前三者的組合。表1密碼內(nèi)容統(tǒng)計(jì)表[7]1.2研究背景1.2.1社會(huì)工程學(xué)視野下的密碼破解社會(huì)工程學(xué)包含兩層含義，廣義的含義是利用社會(huì)中的各個(gè)方面要素，去解決復(fù)雜問(wèn)題的方式方法論;狹義的含義則是針對(duì)互聯(lián)網(wǎng)領(lǐng)域中安全的一種攻擊手段。廣義的社會(huì)工程學(xué)是建立理論并通過(guò)利用自然的、社會(huì)的和制度上的途徑來(lái)逐步解決各種復(fù)雜的社會(huì)問(wèn)題[8]。狹義的社會(huì)工程學(xué)是一種針對(duì)受害者的心理弱點(diǎn)、本能反響、好奇心、信任、貪心等心理陷阱，施行諸如欺騙、傷害等危害的方式方法。密碼中的社會(huì)工程學(xué)(攻擊)是一種利用上述心理陷阱獲取用戶個(gè)人信息、系統(tǒng)/平臺(tái)信息、用戶的慣例/規(guī)則等信息的攻擊方式方法[9]。社會(huì)工程學(xué)屬于非傳統(tǒng)的信息安全范疇，隨著網(wǎng)絡(luò)技術(shù)、產(chǎn)品和服務(wù)的日趨成熟，很多攻擊手段難以快速實(shí)現(xiàn)，此時(shí)社會(huì)工程學(xué)攻擊對(duì)于攻擊者來(lái)講凸顯重要，而對(duì)于防御者來(lái)講更要重視[10]。對(duì)于社會(huì)工程學(xué)的應(yīng)用如此圖1所示[11]。針對(duì)本研究而言，僅牽涉信息收集獲取和密碼破解攻擊兩個(gè)技術(shù)，兩者互相穿插、遞進(jìn)發(fā)展。信息收集獲取，是將收集的信息進(jìn)行分析，以備用來(lái)暴力破解密碼;密碼破解攻擊之后，則又會(huì)被再次收集更多的信息;兩者互相依靠共存。社會(huì)工程學(xué)中的信息收集分析，對(duì)密碼的安全設(shè)置具有較大的安全威脅。因而，本研究從社會(huì)工程學(xué)視角去考慮密碼數(shù)據(jù)的來(lái)源，分析用戶可能設(shè)置的密碼。使用上述方式方法進(jìn)行密碼破解攻擊，再進(jìn)行密碼設(shè)置和保管的分析，以提出合理的方案進(jìn)行設(shè)置和保管。圖1基于社會(huì)工程學(xué)的網(wǎng)絡(luò)安全技術(shù)應(yīng)用梳理[11]1.2.2密碼的使用場(chǎng)景為了更好地把握和界定密碼的適用的場(chǎng)景，從物理設(shè)備和虛擬系統(tǒng)設(shè)置密碼的二個(gè)角度分析，密碼的使用存有3種情況:(1)純物理介質(zhì)/機(jī)械的設(shè)備所使用的密碼。例如傳統(tǒng)密碼鎖、保險(xiǎn)柜等;(2)物理介質(zhì)和系統(tǒng)相結(jié)合/混合所使用的密碼。例如校園卡系統(tǒng)、門(mén)禁系統(tǒng)、銀行卡系統(tǒng)以及個(gè)人電子設(shè)備(例如手機(jī)、電腦)等;(3)虛擬系統(tǒng)/網(wǎng)絡(luò)空間中所使用的密碼。例如電子郵箱、即時(shí)通信賬號(hào)、娛樂(lè)系統(tǒng)賬號(hào)、電子商務(wù)以及不常用的網(wǎng)站和應(yīng)用服務(wù)等。綜上所述，為了更好地把握和界定密碼的適用場(chǎng)合，可將前二種合并，從現(xiàn)實(shí)生活和網(wǎng)絡(luò)空間(系統(tǒng))中使用的密碼二種情況進(jìn)行分析。1.2.3密碼設(shè)置的分類網(wǎng)絡(luò)時(shí)代，密碼的使用充滿了生活的方方面面。通過(guò)對(duì)密碼進(jìn)行分類設(shè)置，便可有效地應(yīng)對(duì)撞庫(kù)風(fēng)險(xiǎn)，要想很好的對(duì)密碼掌控，有必要在不同的應(yīng)用場(chǎng)景中對(duì)密碼設(shè)置的方式方法進(jìn)行分類。(1)從空間的角度分析，將現(xiàn)實(shí)生活中的密碼(即純物理介質(zhì)及其同系統(tǒng)相結(jié)合)和網(wǎng)絡(luò)空間(純系統(tǒng))中的密碼分開(kāi)設(shè)置;(2)從資金的角度分析，將涉財(cái)事務(wù)密碼和非財(cái)務(wù)事務(wù)密碼分開(kāi)設(shè)置;(3)從職業(yè)角度分析，將辦公事務(wù)密碼和生活應(yīng)用密碼分開(kāi)設(shè)置;(4)從密碼場(chǎng)景的重要性來(lái)分析，將不同級(jí)別的密碼(以復(fù)雜度)分級(jí)設(shè)置;(5)從平臺(tái)要求密碼的簡(jiǎn)易程度的角度來(lái)分，將不同長(zhǎng)度、不同要求的密碼分開(kāi)設(shè)置。1.2.4密碼設(shè)置的挑戰(zhàn)1.2.4.1弱口令弱口令(weakpassword)沒(méi)有嚴(yán)格和準(zhǔn)確的定義，通常以為容易被人猜想到或被破解工具破解的口令均為弱口令[12]。通常弱口令包含3種情況:(1)個(gè)人信息弱口令，例如身份證后6位、生日日期、手機(jī)號(hào)、門(mén)牌號(hào)和車牌號(hào)等;(2)傳統(tǒng)弱口令，例如123456、admin、平臺(tái)名稱等;(3)上述個(gè)人信息弱口令和傳統(tǒng)弱口令的穿插、排列和組合等方式方法構(gòu)成的密碼字符串，例如zhangsan888、1996admin等。1.2.4.2暴力破解暴力破解(exhaustiveattack)或稱為窮舉法，是一種針對(duì)密碼的破譯方式方法，即將密碼進(jìn)行逐個(gè)推算直到找出真正的密碼為止[13]。暴力破解依靠于字典，字典內(nèi)含二種數(shù)據(jù):(1)弱口令數(shù)據(jù);(2)純暴力數(shù)據(jù)。純暴力數(shù)據(jù)是指，從1位到N位數(shù)據(jù)，每一位可由數(shù)字、字符(包括大小寫(xiě))或特殊符號(hào)等構(gòu)成，與用戶無(wú)關(guān)聯(lián)性。純暴力數(shù)據(jù)，常規(guī)手段是先生成6位以內(nèi)的數(shù)字進(jìn)行暴力測(cè)試，再根據(jù)需要生成其他數(shù)據(jù)。在暴力破解中，弱口令成功的概率遠(yuǎn)大于純暴力數(shù)據(jù)。1.2.4.3撞庫(kù)撞庫(kù)，即黑客通過(guò)收集網(wǎng)上已泄露的用戶名和密碼信息，嘗試批量登錄其他網(wǎng)站，得到一系列能夠登錄的用戶賬號(hào)[14]。通俗而言，撞庫(kù)即通過(guò)已經(jīng)知道的一個(gè)平臺(tái)的賬號(hào)和密碼，利用該賬號(hào)和密碼去嘗試登錄其他平臺(tái)。撞庫(kù)是黑客的一種慣用手段(同撞庫(kù)相關(guān)的還有洗庫(kù)和脫庫(kù))，其依靠手中的社工庫(kù)。1.2.4.4社工庫(kù)社會(huì)工程學(xué)數(shù)據(jù)庫(kù)(SocialEngineeringDatabase)，簡(jiǎn)稱社工庫(kù)[15]。社工庫(kù)是黑客與大數(shù)據(jù)方式進(jìn)行結(jié)合的一種產(chǎn)物。黑客們將泄露的用戶數(shù)據(jù)整合分析，然后進(jìn)行集中歸檔，整理成庫(kù)。黑客通過(guò)入侵有價(jià)值的網(wǎng)絡(luò)站點(diǎn)，盜走用戶數(shù)據(jù)庫(kù)，這個(gè)經(jīng)過(guò)在地下產(chǎn)業(yè)術(shù)語(yǔ)里被稱為拖庫(kù)黑產(chǎn)人員把多個(gè)不同類型的數(shù)據(jù)庫(kù)整合成社工庫(kù)[16]。社工庫(kù)不僅包括用戶的賬密信息，還包括相應(yīng)的額外信息(用戶的數(shù)據(jù)信息和應(yīng)用信息)，通過(guò)額外信息能夠用來(lái)輔助生成弱口令數(shù)據(jù)。2問(wèn)題提出2.1密碼設(shè)置面臨的風(fēng)險(xiǎn)研究發(fā)現(xiàn)，用戶在密碼設(shè)置方面經(jīng)常犯的兩類錯(cuò)誤，讓很多互聯(lián)網(wǎng)用戶面臨風(fēng)險(xiǎn):(1)多個(gè)賬戶使用同一個(gè)密碼。這意味著，一旦有一個(gè)賬戶的密碼泄露，則多個(gè)賬戶都可能被破解;(2)使用容易被破解的弱密碼[17]。密碼的設(shè)置主要為了保衛(wèi)自個(gè)所擁有的資源，因而密碼的設(shè)置一定不能設(shè)置為弱口令，且必需要足夠強(qiáng)健才能防御暴力破解，否則會(huì)給試圖獲取資源的惡意登錄者帶來(lái)可乘之機(jī)。同時(shí)，密碼的設(shè)置還要考慮密碼泄露后所存在的撞庫(kù)問(wèn)題。2.2密碼保管存在的窘境當(dāng)今在互聯(lián)網(wǎng)的大環(huán)境下，密碼應(yīng)用環(huán)境復(fù)雜多變，各類平臺(tái)設(shè)置密碼的標(biāo)準(zhǔn)不統(tǒng)一，設(shè)置眾多密碼難以記憶。研究顯示，用戶有時(shí)候會(huì)同別人共享密碼，并且使用不安全的手段存放這些密碼;有近三分之一(28%)的用戶會(huì)同家庭成員共享密碼，還有特別之一(11%)的用戶會(huì)同朋友共享自個(gè)的密碼，很容易造成密碼被無(wú)意間泄露。超過(guò)五分之一(22%)的用戶成認(rèn)自個(gè)會(huì)在記事本上寫(xiě)下自個(gè)的密碼，以便記住。這樣做的話，即使密碼很強(qiáng)，也很容易讓用戶面臨攻擊[14]。不安全地密碼保管，失去了使用密碼的意義。當(dāng)前，對(duì)于密碼的保管，存在下面問(wèn)題:(1)記錄在物質(zhì)載體上。例如寫(xiě)在紙上、墻上等，安全系數(shù)較低，容易丟失或損害;(2)純記憶。除神志不清/不理性狀態(tài)下，密碼絕對(duì)安全，但記憶負(fù)擔(dān)太重;(3)借助于密碼管理軟件。例如Clipperz、ncryptr、KeePass等軟件，安全程度適中，但依靠軟件平臺(tái)。3解決措施3.1基于場(chǎng)景的密碼設(shè)置方式方法欲獲得比擬強(qiáng)健的密碼，能夠?qū)€(gè)人信息弱口令作為原始密碼，進(jìn)而對(duì)其進(jìn)行加工處理，便可到的較為強(qiáng)健的密碼。通常情況下，基于場(chǎng)景設(shè)置密碼時(shí):(1)要考慮密碼的設(shè)置規(guī)則;(2)要考慮密碼設(shè)置的位數(shù)限制;(3)要因不同場(chǎng)景考慮密碼設(shè)置的特點(diǎn)。前二者為密碼設(shè)置規(guī)則的共性，而第3點(diǎn)則是特性。設(shè)置規(guī)則應(yīng)與場(chǎng)景相結(jié)合。設(shè)置對(duì)于數(shù)字或字母所對(duì)應(yīng)的場(chǎng)景，其能夠?qū)Ρ旧碓O(shè)定的數(shù)字或字母等采取逆序、增加特殊字符等方式進(jìn)行設(shè)定。以QQ辦公郵箱密碼為例，則能夠設(shè)置為辦公(假設(shè)為123456)的逆序加@再加QQ，最后可設(shè)定為654321@QQ。3.2基于樹(shù)狀構(gòu)造的混雜密碼設(shè)置方式方法混雜密碼的設(shè)置是定義密碼設(shè)置的構(gòu)造。對(duì)于混雜密碼的設(shè)置靈感，來(lái)源于計(jì)算機(jī)編程技術(shù)數(shù)據(jù)構(gòu)造中的樹(shù)形構(gòu)造。樹(shù)型構(gòu)造在現(xiàn)實(shí)世界中廣泛存在，如社會(huì)組織機(jī)構(gòu)關(guān)系圖就能夠用樹(shù)來(lái)表示[18]。以淘寶賬號(hào)密碼的設(shè)置為例，筆者曾經(jīng)使用過(guò)@NM0Ltaobao作為淘寶密碼。其密碼設(shè)置根據(jù)為:重要度用．(低)、!(中)和@(高)表示，空間用N(network)和l(life)表示，錢(qián)財(cái)用M(money)和n(null)表示，能否牽涉職業(yè)則用0(生活)和1(工作)表示，簡(jiǎn)易程度用L(long)和s(short)表示。為了加強(qiáng)與使用環(huán)境的相關(guān)性，以類型進(jìn)行區(qū)分P(platform)和e(equipment)，再根據(jù)平臺(tái)，根據(jù)其詳細(xì)功能進(jìn)行劃分L(login)、p(payment)和o(other)最終加上平臺(tái)/設(shè)備名，即上述密碼中的最后6位taobao，密碼構(gòu)成構(gòu)造如此圖2所示。根據(jù)該方式方法設(shè)置密碼，增加了密碼的長(zhǎng)度及關(guān)聯(lián)性(便于記憶)，從根本上提高了密碼的安全層次。但上述構(gòu)造并非完美，例如對(duì)于存在位數(shù)限制或者特殊字符限制等情況，圖示構(gòu)造則需要進(jìn)行一些變動(dòng)。針對(duì)位數(shù)限制，則需要壓縮層數(shù)而對(duì)于特殊字符限制，則需要重新定義每個(gè)節(jié)點(diǎn)所對(duì)應(yīng)的加密字符。針對(duì)于此構(gòu)造給出新的啟示，即樹(shù)的左邊部分(@NM0L)能夠?qū)⒚總€(gè)分支化為0和1的二進(jìn)制形式(從上向下11111)，最后轉(zhuǎn)化成一個(gè)十進(jìn)制數(shù)(31)，這也是一種新的密碼設(shè)置方式方法，詳細(xì)構(gòu)造如此圖3所示。圖2混雜密碼設(shè)置構(gòu)造示例圖3以二進(jìn)制形式描繪敘述密碼分類構(gòu)造密碼安全設(shè)置了兩重防線:一是密碼本身，二是密碼對(duì)照表的存在。利用該方式方法設(shè)置密碼，密碼安全等級(jí)高，暴力破解難度大，從根本上斷絕了撞庫(kù)風(fēng)險(xiǎn)。由于該方式方法需要進(jìn)行一定的規(guī)劃，且需要設(shè)置一個(gè)構(gòu)造，同時(shí)該構(gòu)造需要單獨(dú)保存，因而使用較為復(fù)雜。3.3基于編碼的密碼設(shè)置方式方法基于編碼(強(qiáng)度)的密碼設(shè)置指不依靠使用場(chǎng)景，單純從復(fù)雜(安全)程度來(lái)設(shè)置密碼。基于編碼的密碼設(shè)置牽涉位數(shù)和字符限制問(wèn)題，其暴力破解難度為指數(shù)級(jí)。華而不實(shí)位數(shù)限定了指數(shù)，而字符限制則限定了底數(shù)。例如4位純數(shù)字，暴力破解次數(shù)為104(10*10*10*10=10000，每一位有10種可能，則4位密碼有10000種可能);而對(duì)于全字符(假設(shè)10位數(shù)字、52位字母、5位特殊字符)4位密碼來(lái)講，暴力破解次數(shù)為(10+52+5)4(67*67*67*67=20151121，每一位有67種可能，則4位密碼有20151121種可能)，其復(fù)雜程度超過(guò)純數(shù)字次數(shù)約2015倍。上述分析了位數(shù)和字符數(shù)的設(shè)置所帶來(lái)的暴力破解的難度?；诖耍瑥拿艽a本身的編碼安全來(lái)分析，在考慮密碼長(zhǎng)度的情況下，分為純數(shù)字密碼和組合型密碼二種。當(dāng)前，除了特殊領(lǐng)域(銀行卡、校園卡、門(mén)禁等)使用純數(shù)字，其它使用密碼的情形幾乎全為組合密碼。3.3.1純數(shù)字密碼此處的純數(shù)字是指有位數(shù)限制、特殊領(lǐng)域的純數(shù)字。例如4位、6位、8位的密碼箱、銀行卡、校園卡門(mén)禁等情況。對(duì)于純數(shù)字密碼而言，可對(duì)個(gè)人常用的密碼數(shù)字進(jìn)行下面處理:(1)逆向設(shè)置;(2)奇偶交換設(shè)置;(3)左右交換方式。此處提供參考思路，僅列舉了3種密碼設(shè)置方式方法提升密碼的安全性。以校園卡密碼設(shè)置為例，假設(shè)卡號(hào)為19960810作為原始密碼進(jìn)行變換。采用方式方法如下:(1)進(jìn)行密碼設(shè)置，則為01806991;(2)進(jìn)行密碼設(shè)置，則為91698001;(3)進(jìn)行密碼設(shè)置，則為08101996。以上3種方式方法可以以混用。詳細(xì)實(shí)例操作見(jiàn)表2。表2純數(shù)字密碼設(shè)置示例由此得出，采用該方式方法設(shè)置密碼，不僅具有關(guān)聯(lián)性(便于記憶)，同時(shí)極大的提升了密碼的安全性。3.3.2組合型密碼組合型定義了密碼基礎(chǔ)強(qiáng)度，包括全字符組合和混合字符組合。全字符組合包括數(shù)字、大小寫(xiě)英文、特殊符號(hào);混合字符組合則是全字符組合的一部分。數(shù)字(0-9,10個(gè))、大小寫(xiě)英文(a-z\A-Z,5二個(gè))、特殊字符(33個(gè))等;顯然易見(jiàn)，暴力破解組合型字符相對(duì)于純數(shù)字難度(底數(shù)增加)要大的多。由于常用平臺(tái)密碼設(shè)置要求的非統(tǒng)一性，筆者對(duì)當(dāng)前常用平臺(tái)進(jìn)行了密碼要求的統(tǒng)計(jì)，見(jiàn)表3。華而不實(shí)，要求最簡(jiǎn)單的是中國(guó)鐵路12306和163郵箱等，要求最復(fù)雜的是中國(guó)及多國(guó)專利審查信息查詢(其后簡(jiǎn)稱專利查詢)。能夠看出，只要密碼復(fù)雜度知足專利查詢，即可知足表中所有平臺(tái)的要求。因而，能夠?qū)＠樵兊拿艽a要求(密碼長(zhǎng)度在8-18之間，至少有一個(gè)數(shù)字、小寫(xiě)字母、大寫(xiě)字母、特殊字符)作為組合型密碼的基本要求，即密碼設(shè)置的最低標(biāo)準(zhǔn)，方可知足所有情況下的密碼要求。以設(shè)置淘寶密碼為例，能夠設(shè)置為10@Taobao,1是涉財(cái)、0是登錄、@特殊符號(hào)間隔、Taobao對(duì)應(yīng)平臺(tái)，4個(gè)部分能夠打亂排序;再以設(shè)置校園卡密碼和學(xué)生系統(tǒng)密碼為例，能夠分別設(shè)置為School@1、School@0等。此處的組合型密碼不同于混雜密碼設(shè)置，組合型密碼注重的是知足平臺(tái)要求，而混雜密碼則注重的是按分類設(shè)置，二者都應(yīng)在知足各自特點(diǎn)的情況下提升密碼強(qiáng)度并提高可記憶性。表3常用平臺(tái)密碼設(shè)置要求統(tǒng)計(jì)3.4基于擴(kuò)散和混淆的密碼設(shè)置方式方法以上方式方法能夠幫助人們理清思路，以較好的方式解決日常生活中設(shè)置密碼的問(wèn)題。但是，對(duì)于密碼的設(shè)置需要一個(gè)科學(xué)的理論根據(jù)和指導(dǎo)。1949年美國(guó)數(shù)學(xué)家、信息論的創(chuàng)始人克勞德艾爾伍德香農(nóng)(ClaudeElwoodShannon)發(fā)表了(CommunicationTheoryofSecrecySystems〕(保密系統(tǒng)的通信理論)，提出了混淆(confusion)和擴(kuò)散(diffusion)兩大設(shè)計(jì)原則，為對(duì)稱密碼學(xué)(發(fā)送者的加密密鑰和接收者的解密密鑰一樣或容易互相導(dǎo)出的密碼體制)建立了理論基礎(chǔ)。擴(kuò)散和混淆的目的是為了對(duì)抗對(duì)手對(duì)密碼體質(zhì)的統(tǒng)計(jì)分析[3]。擴(kuò)散是指:明文中的每一位影響密文中的很多位，或者講讓密文中的每一位受明文中的很多位的影響，以屏蔽明文的統(tǒng)計(jì)特性;混淆是指:將密文與密鑰之間的統(tǒng)計(jì)關(guān)系變得盡可能復(fù)雜，使得對(duì)手即便獲得了關(guān)于密文的一些統(tǒng)計(jì)特性，也無(wú)法揣測(cè)密鑰。通過(guò)對(duì)上述概念的分析，筆者以為，對(duì)于口令而言，能夠借鑒擴(kuò)散和混淆并適應(yīng)到口令的設(shè)置之中，以防備撞庫(kù)攻擊或社工攻擊中的密碼分析。無(wú)論是基于場(chǎng)景還是基于編碼，皆是對(duì)于密碼字符串的設(shè)置，因而能夠借鑒混淆和擴(kuò)散兩大原則，加之同時(shí)采用古典密碼體系中的方式方法，則能夠?qū)崿F(xiàn)產(chǎn)生較好的密碼設(shè)置效果。對(duì)于密碼的設(shè)置研究，主要是脫離弱口令、增加暴力破解難度，防止密碼分析帶來(lái)的撞庫(kù)問(wèn)題;通過(guò)上述擴(kuò)散和混淆的概念，我們能夠利用擴(kuò)散增加位數(shù)、字符數(shù)，以脫離弱口令、增加暴力破解難度;以混淆來(lái)減小不同平臺(tái)下的密碼之間的統(tǒng)計(jì)關(guān)系，見(jiàn)表4。表4基于擴(kuò)散和混淆的密碼設(shè)置示例3.5自建密碼設(shè)置模型自建密碼設(shè)置模型兼顧場(chǎng)景和強(qiáng)度。先以場(chǎng)景進(jìn)行分類，標(biāo)注不同程度的密碼層級(jí)，進(jìn)而設(shè)置不同強(qiáng)度的密碼。按場(chǎng)景重要程度可分為3類:涉財(cái)類、常用類、普通類。為了便于記憶，3種類型皆以最高強(qiáng)度設(shè)置作為密碼設(shè)置要求，即密碼長(zhǎng)度在8-18之間，至少有一個(gè)數(shù)字、小寫(xiě)字母、大寫(xiě)字母、特殊字符。首先規(guī)范密碼格式:以平臺(tái)名稱+平臺(tái)功能+特殊符號(hào)+數(shù)字格式為例。為便于記憶，平臺(tái)名稱應(yīng)明確界定中文字?jǐn)?shù)。例如，阿里、奇藝、付寶，可以以自定義漢字個(gè)數(shù)(按重要程度設(shè)置平臺(tái)字?jǐn)?shù)，若平臺(tái)名稱缺乏的能夠自定義漢字進(jìn)行填充)。平臺(tái)名稱能夠用駝峰命名法進(jìn)行拼音、英文拼寫(xiě)，可以以自定義拼寫(xiě)方式方法(例如漢字拼音的最后一個(gè)字母大寫(xiě)或者只是最后一個(gè)字母小寫(xiě))。平臺(tái)功能一般分為二種:(1)功能(登錄、支付、獨(dú)立密碼等);(2)類型(例如網(wǎng)易郵箱、網(wǎng)易云音樂(lè)、網(wǎng)易游戲等)。特殊符號(hào)和數(shù)字則能夠自定義。以支付寶、網(wǎng)易和百度3個(gè)平臺(tái)密碼設(shè)置為例，見(jiàn)表5。從表5能夠看出，3種重要程度不同的平臺(tái)，為了便于記憶格式上一樣，但是各平臺(tái)的最終密碼卻大相徑庭。使用該方式方法設(shè)置密碼，只需要謹(jǐn)記自定義的規(guī)則便可輕松實(shí)現(xiàn)對(duì)各平臺(tái)密碼的掌控。表5自建密碼模型樣例3.6二次處理加記錄的密碼保管方式方法對(duì)于密碼的保管，筆者以為，較適宜的方式方法是二次處理+平臺(tái)/設(shè)備記錄。二次處理類似于加密，但又不同于加密;以密碼taoBaoL$6991為例，描繪敘述詳見(jiàn)表6。表6密碼保存之二次處理示例對(duì)于平臺(tái)/設(shè)備記錄，則是直接將二次處理后的密碼寫(xiě)入到移動(dòng)設(shè)備(手機(jī)、平板)中的便簽或記事本等類似的系統(tǒng)中，亦或者寫(xiě)入到網(wǎng)絡(luò)平臺(tái)中。采用上述方式方法保管/記憶密碼，不僅能夠加強(qiáng)密碼設(shè)置的記憶，同時(shí)提升密碼存儲(chǔ)層級(jí)(不泄露、便于記憶)。在這里，不建議閱讀器插件記錄密碼，固然快速，但不便于跨設(shè)備，且存在別人利用該設(shè)備登陸平臺(tái)的風(fēng)險(xiǎn)。4結(jié)束語(yǔ)密碼的設(shè)置看似簡(jiǎn)單，實(shí)則是一門(mén)方式方法論，設(shè)置的手段和方式方法至關(guān)重要。本文首先是對(duì)研究對(duì)象進(jìn)行闡述加以界定，并描繪敘述其研究背景。從社會(huì)工程學(xué)的視角出發(fā)，分析密碼設(shè)置的挑戰(zhàn)和保管的窘境。根據(jù)上述問(wèn)題，提出3種密碼設(shè)置方式方法，并建立密碼設(shè)