湯永利

密碼學(xué)看似高深莫測，其實與我們的生活密切相關(guān)，扮演著保護公共及個人信息的看門人角色。在家喻戶曉的阿拉伯傳說故事《一千零一夜》中有一個阿里巴巴與四十大盜的故事，當阿里巴巴喊出“芝麻開門”時，藏寶山洞就會緩緩打開。在這里，阿里巴巴使用的就是密碼學(xué)中一種特殊的語音口令。

芝麻開門：密碼無處不在

在日常生活中，當用戶和數(shù)字設(shè)備交互，或者是通過客戶端登錄系統(tǒng)時，往往會用到一種被稱為身份認證的安全技術(shù)。這種技術(shù)用于鑒別用戶身份的真?zhèn)涡?，從而保證之后一系列操作是合法有效的。在種類繁多的身份認證技術(shù)中，口令認證是目前最常用的方式，在登錄電子郵箱、使用自動取款機業(yè)務(wù)和登錄許多數(shù)字應(yīng)用的過程中，都需要使用用戶名和口令來認證用戶的合法身份。

第二次世界大戰(zhàn)期間，德國憑借恩尼格瑪密碼進行軍事通信，英國雖然召集了圖靈等密碼天才，卻也對此一籌莫展。德軍規(guī)定發(fā)送情報時每次必須更換臨時密碼，可是有個發(fā)報員卻因為圖省事，一直使用自己女友名字的縮寫作為臨時密碼。當圖靈等人偶然發(fā)現(xiàn)這個規(guī)律時，破譯了當時被認為不可能被破解的機器。據(jù)專家估計，對恩尼格瑪密碼的破解，使第二次世界大戰(zhàn)足足縮短了兩年，拯救了2000萬人的生命。

如何編一個安全又好記的口令

生活中接觸的各種微博、游戲賬號、軟件、銀行卡越來越多，需要記住的賬號及口令也越來越多。什么樣的口令才是安全的，如何才能安全地使用口令？這樣的問題答案你可能已經(jīng)聽膩了：口令設(shè)置得長一些、混合數(shù)字字母符號、不要采用自己的生日、避免任何可能聯(lián)系到你本身的口令……到底要如何設(shè)置一個難以破解的口令呢？

（1）長度很重要

口令的長度直接影響口令強度。因為攻擊者在猜測口令時，最簡單的方法就是把所有可能的口令都試一遍，如果口令達到一定長度，攻擊者嘗試的這種攻擊方式在時間上變得不太可行。推薦口令長度至少12～16位，以此來保證口令的安全性。

（2）不要使用明顯的信息作為口令

對于口令猜測，聰明的攻擊者還會使用社會工程學(xué)來試探你的口令，比如通過網(wǎng)絡(luò)搜索查找到關(guān)于你的所有信息如名字、生日、電話號、寵物名等。類似此類能夠輕易通過社交媒體獲取的信息都不要作為口令。還有一些攻擊者擁有口令字典，保存了網(wǎng)絡(luò)中常用的口令和一些系統(tǒng)默認的口令等，對于過于隨意設(shè)置的口令很容易通過字典猜出。

我們在設(shè)置口令時可以用別人的生日，但不建議用爸爸媽媽、子女等人的生日，可以用兄弟姐妹的生日，或者拿自己生日的數(shù)字調(diào)換一下順序。年月日換成日月年或者月日年，或者將數(shù)字10變成01等，如生日是20081007，我們可以將口令設(shè)置為018007。

（3）句子比單詞好

可以使用容易記憶的金句，比如喜歡的書或看過的電影中的句子，可以使用這些句子的首字母再加上特別的符號或數(shù)字，這樣保證能夠記住的同時，還增加了口令的長度和復(fù)雜度。比如古詩“鋤禾日當午，汗滴禾下土”，我們可以將其換成口令“chrdw-hdhxt”。

（4）使用特殊符號

當創(chuàng)建一個口令時，不要忘了還能用空格、下劃線等特殊符號，這些符號往往會被口令破解工具忽略，適當?shù)氖褂锰厥夥柲軌蜃尅翱诹罱M”更復(fù)雜。例如：CK%R4T#9sk-1，這就是一個高強度的好口令，但是記下來比較困難。

（5）不要忽視郵箱口令

郵箱是口令重置的方式之一，為郵箱設(shè)置一個安全的口令并且定期進行更改，對于其他所有賬戶來說也就額外多了一層保護。比如網(wǎng)易郵箱口令可以設(shè)置為chrdw-hdhxt163，過3個月后可以更改為chrdw-hdhxt166等。

（6）頻繁更換

口令使用時間越長，暴露的風(fēng)險越高；在不同系統(tǒng)中設(shè)置相同的口令越頻繁，口令被攻擊者獲取的機會也越多。因此不要偷懶！給不同的賬戶設(shè)置不同的用戶名，并且不要重復(fù)使用口令！同時建議每個口令間隔60～90天就更換一次。比如我們用chrdwhdhxt 2018！作為基礎(chǔ)口令，那么QQ口令我們可以設(shè)置為Qchrdwhdhxt 2018！Q，淘寶口令我們可以設(shè)置為Tchrdwhdhxt 2018！B等，這樣給自己制定一個規(guī)則，使口令好記又安全。

知識鏈接：口令與密碼

口令也經(jīng)常被人們口頭稱為“密碼”，代表著內(nèi)容需要保密的數(shù)字或字母信息。它和密碼學(xué)上的密碼在定義和安全要求上有明顯的區(qū)別。密碼學(xué)上的密碼通常是指一類算法，經(jīng)過復(fù)雜的變換將輸入信息轉(zhuǎn)成表面與其無關(guān)的輸出信息；而口令認證中的“密碼”無需特定的轉(zhuǎn)換，一般由用戶自主產(chǎn)生。從安全性要求上兩者也有差別：密碼學(xué)中的密碼本身是公開的算法或標準；而后一種“密碼”需要絕對保密，一旦攻擊者獲得全部或部分信息之后，就不再安全了。