張 碩， 吳 瑕

(重慶郵電大學 網絡空間安全與信息法學院， 重慶 400065)

0 引 言

在日常生活中，每個人都會面對諸多(例如購物、學術、考試、聊天、娛樂、辦公等系統(tǒng)或平臺)的密碼進行設置和記憶。從學童的密碼文具盒到銀行中的保險柜，從手機屏幕鎖到辦公系統(tǒng)的登錄，處處需要密碼，密碼的重要性不言而喻。如果個人密碼遭到破解, 輕則個人信息被泄露或被盜用, 重則導致個人財產損失甚至企業(yè)的安全事故[1]。

對于密碼的設置是方法論的問題，其趨同于“網絡協(xié)議(在計算機網絡中雙方實現(xiàn)通信，必須遵循一些事先制定好的規(guī)則和標準；這些為進行數(shù)據(jù)交換而建立的規(guī)則、語義或標準稱為網絡協(xié)議)[2]”。一般而言，日常遇到的密碼(只考慮密碼構成，暫不考慮密碼長度)有純數(shù)字組合、混合字符組合和全字符組合，且在設置密碼的時候應避開“弱口令”。綜合而言，無論是密碼的設置還是保管都是一個較為棘手的事情。

1 研究前提

1.1 研究對象之密碼的界定

密碼在中文里是“口令”(password)的通稱[3]?！懊艽a”一詞從漢語語意上分析是指秘密的代碼。密碼從無到有直到發(fā)展至現(xiàn)在，其包含了二種語義：

(1)密碼學中所指的密碼(密碼體制);

(2)日常生活中的密碼(口令)。

1.1.1 密碼學中的密碼

在幾千年前密碼就以行幫暗語和文字猜謎的方式使用，后來將密碼應用到戰(zhàn)爭當中，用來傳遞戰(zhàn)事信息，密碼發(fā)揮了關鍵性的作用。隨著歷史發(fā)展，對于“密碼”的研究，逐漸演變?yōu)槊艽a學，其目的就是讓通信雙方能夠在一個不安全的信道上進行保密通信[4]。密碼學研究的是密碼編碼和破譯的技術與方法，通過研究密碼變化的客觀規(guī)律，將其應用于編制密碼，實現(xiàn)保密通信的技術被稱為編碼學；通過研究密碼變化的客觀規(guī)律，并將其應用于破譯密碼，實現(xiàn)獲取通信信息的技術被稱為破譯學。編碼學和破譯學統(tǒng)稱為密碼學[5]。密碼學中的密碼，是指通信雙方按約定的法則進行信息特殊變換的一種重要保密手段。依照這些法則，將明文變換為密文，稱為加密變換；將密文變換為明文，稱為解密變換[6]。

1.1.2 本文研究的密碼

本文研究的“密碼”，指的用戶打開設備或者登錄系統(tǒng)的字符串或稱為口令，密碼的使用是進行身份的認證。用戶對密碼的設置，主要是為了用戶對所擁“資源”的掌控，“密碼”則是資源的鑰匙。對于密碼的設置，根據(jù)學者的統(tǒng)計情況見表1[7]。

由表1可見，密碼設置無外乎包括以下4個方面：

(1)與用戶自身相關的信息；

(2)與平臺(系統(tǒng)/設備)相關的信息；

(3)自定義的特殊規(guī)則；

(4)前三者的組合。

表1 密碼內容統(tǒng)計表[7]

1.2 研究背景

1.2.1 社會工程學視野下的密碼破解

社會工程學包含兩層含義，廣義的含義是利用社會中的各個方面要素，去解決復雜問題的方法論；狹義的含義則是針對互聯(lián)網領域中“安全”的一種攻擊手段。廣義的“社會工程學”是建立理論并通過利用自然的、社會的和制度上的途徑來逐步解決各種復雜的社會問題[8]。狹義的“社會工程學”是一種針對受害者的心理弱點、本能反應、好奇心、信任、貪婪等心理陷阱，實施諸如欺騙、傷害等危害的方法。密碼中的社會工程學(攻擊)是一種利用上述心理陷阱獲取用戶個人信息、系統(tǒng)/平臺信息、用戶的慣例/規(guī)則等信息的攻擊方法[9]。社會工程學屬于非傳統(tǒng)的信息安全范疇，隨著網絡技術、產品和服務的日趨成熟，很多攻擊手段難以快速實現(xiàn)，此時社會工程學攻擊對于攻擊者來說凸顯重要，而對于防御者來說更要重視[10]。

對于社會工程學的應用如圖1所示[11]。 針對本研究而言，僅涉及信息收集獲取和密碼破解攻擊兩個技術，兩者相互交叉、遞進發(fā)展。信息收集獲取，是將收集的信息進行分析，以備用來暴力破解密碼；密碼破解攻擊之后，則又會被再次收集更多的信息；兩者相互依賴共存。社會工程學中的信息收集分析，對密碼的安全設置具有較大的安全威脅。因此，本研究從社會工程學視角去思考密碼“數(shù)據(jù)”的來源，分析用戶可能設置的密碼。使用上述方法進行密碼破解攻擊，再進行密碼設置和保管的剖析，以提出合理的方案進行設置和保管。

圖1 基于社會工程學的網絡安全技術應用梳理[11]

1.2.2 密碼的使用場景

為了更好地把握和界定密碼的適用的場景，從物理設備和虛擬系統(tǒng)設置密碼的二個角度分析，密碼的使用存有3種情況：

(1)純物理介質/機械的設備所使用的密碼。例如傳統(tǒng)密碼鎖、保險柜等；

(2)物理介質和“系統(tǒng)”相結合/混合所使用的密碼。例如校園卡系統(tǒng)、門禁系統(tǒng)、銀行卡系統(tǒng)以及個人電子設備(例如手機、電腦)等；

(3)虛擬系統(tǒng)/網絡空間中所使用的密碼。例如電子郵箱、即時通信賬號、娛樂系統(tǒng)賬號、電子商務以及不常用的網站和應用服務等。

綜上所述，為了更好地把握和界定密碼的適用場合，可將前二種合并，從現(xiàn)實生活和網絡空間(系統(tǒng))中使用的密碼二種情況進行分析。

1.2.3 密碼設置的分類

網絡時代，密碼的使用充滿了生活的方方面面。通過對密碼進行分類設置，便可有效地應對“撞庫”風險，要想很好的對密碼掌控，有必要在不同的應用場景中對密碼設置的方法進行分類。

(1)從空間的角度分析，將現(xiàn)實生活中的密碼(即純物理介質及其同系統(tǒng)相結合)和網絡空間(純系統(tǒng))中的密碼分開設置；

(2)從資金的角度分析，將涉財事務密碼和非財務事務密碼分開設置；

(3)從職業(yè)角度分析，將辦公事務密碼和生活應用密碼分開設置；

(4)從密碼場景的重要性來分析，將不同級別的密碼(以復雜度)分級設置；

(5)從平臺要求密碼的簡易程度的角度來分，將不同長度、不同要求的密碼分開設置。

1.2.4 密碼設置的挑戰(zhàn)

1.2.4.1 弱口令

弱口令(weak password)沒有嚴格和準確的定義，通常認為容易被人猜測到或被破解工具破解的口令均為弱口令[12]。通常弱口令包含3種情況：

(1)個人信息弱口令，例如身份證后6位、生日日期、手機號、門牌號和車牌號等；

(2)傳統(tǒng)弱口令，例如123456、admin、平臺名稱等；

(3)上述個人信息弱口令和傳統(tǒng)弱口令的交叉、排列和組合等方法形成的密碼字符串，例如zhangsan888、1996admin等。

1.2.4.2 暴力破解

暴力破解 (exhaustive attack) 或稱為“窮舉法”, 是一種針對密碼的破譯方法, 即將密碼進行逐個推算直到找出真正的密碼為止[13]。暴力破解依賴于“字典”，字典內含二種數(shù)據(jù)：

(1)弱口令數(shù)據(jù)；

(2)純暴力數(shù)據(jù)。

純暴力數(shù)據(jù)是指，從1位到N位數(shù)據(jù)，每一位可由數(shù)字、字符(包括大小寫)或特殊符號等構成，與用戶無關聯(lián)性。純暴力數(shù)據(jù)，常規(guī)手段是先生成6位以內的數(shù)字進行暴力測試，再根據(jù)需要生成其他數(shù)據(jù)。在暴力破解中，弱口令成功的概率遠大于純暴力數(shù)據(jù)。

1.2.4.3 撞庫

撞庫，即黑客通過收集網上已泄露的用戶名和密碼信息, 嘗試批量登錄其他網站, 得到一系列可以登錄的用戶賬號[14]。通俗而言，撞庫即通過已知的一個平臺的賬號和密碼，利用該賬號和密碼去嘗試登錄其他平臺。撞庫是黑客的一種慣用手段(同撞庫相關的還有洗庫和脫庫)，其依賴手中的“社工庫”。

1.2.4.4 社工庫

社會工程學數(shù)據(jù)庫(Social Engineering Data base)，簡稱社工庫[15]。社工庫是黑客與大數(shù)據(jù)方式進行結合的一種產物。黑客們將泄露的用戶數(shù)據(jù)整合分析，然后進行集中歸檔，整理成庫。黑客通過入侵有價值的網絡站點，盜走用戶數(shù)據(jù)庫，這個過程在地下產業(yè)術語里被稱為“拖庫”；黑產人員把多個不同類型的數(shù)據(jù)庫整合成社工庫[16]。社工庫不僅包括用戶的賬密信息，還包括相應的額外信息(用戶的數(shù)據(jù)信息和應用信息)，通過額外信息可以用來輔助生成弱口令數(shù)據(jù)。

2 問題提出

2.1 密碼設置面臨的風險

研究發(fā)現(xiàn)，用戶在密碼設置方面經常犯的兩類錯誤，讓很多互聯(lián)網用戶面臨風險：

(1)多個賬戶使用同一個密碼。這意味著，一旦有一個賬戶的密碼泄露，則多個賬戶都可能被破解；

(2)使用容易被破解的弱密碼[17]。密碼的設置主要為了保護自己所擁有的“資源”，因此密碼的設置一定不能設置為弱口令，且必須要足夠“健壯”才能防御暴力破解，否則會給試圖獲取資源的惡意登錄者帶來可乘之機。同時，密碼的設置還要考慮密碼泄露后所存在的撞庫問題。

2.2 密碼保管存在的困境

當今在互聯(lián)網的大環(huán)境下，密碼應用環(huán)境復雜多變，各類平臺設置密碼的標準不統(tǒng)一，設置諸多密碼難以記憶。研究顯示，用戶有時候會同他人分享密碼，并且使用不安全的手段存放這些密碼；有近三分之一(28%)的用戶會同家庭成員分享密碼，還有十分之一(11%)的用戶會同朋友分享自己的密碼，很容易造成密碼被無意間泄露。超過五分之一(22%)的用戶承認自己會在記事本上寫下自己的密碼，以便記住。這樣做的話，即便密碼很強，也很容易讓用戶面臨攻擊[14]。不安全地密碼保管，失去了使用密碼的意義。

目前，對于密碼的保管，存在以下問題：

(1)記錄在物質載體上。例如寫在紙上、墻上等，安全系數(shù)較低，容易丟失或損害；

(2)純記憶。除神志不清/不理性狀態(tài)下，密碼絕對安全，但記憶負擔太重；

(3)借助于密碼管理軟件。例如Clipperz、ncryptr、KeePass等軟件，安全程度適中，但依賴軟件平臺。

3 解決措施

3.1 基于場景的密碼設置方法

欲獲得比較健壯的密碼，可以將個人信息弱口令作為“原始密碼”，進而對其進行加工處理，便可到的較為健壯的密碼。

通常情況下，基于場景設置密碼時：

(1)要考慮密碼的設置規(guī)則；

(2)要考慮密碼設置的位數(shù)限制；

(3)要因不同場景考慮密碼設置的“特”點。

前二者為密碼設置規(guī)則的共性，而第3點則是特性。設置規(guī)則應與場景相結合。設置對于數(shù)字或字母所對應的場景，其可以對自身設定的數(shù)字或字母等采取逆序、增加特殊字符等方式進行設定。以QQ辦公郵箱密碼為例，則可以設置為辦公電話(假設為123456)的逆序加‘@’再加“QQ”，最后可設定為“654321@QQ”。

3.2 基于樹狀結構的混雜密碼設置方法

混雜密碼的設置是定義密碼設置的結構。對于混雜密碼的設置靈感，來源于計算機編程技術“數(shù)據(jù)結構”中的“樹形”結構。樹型結構在現(xiàn)實世界中廣泛存在，如社會組織機構關系圖就可以用樹來表示[18]。以淘寶賬號密碼的設置為例，筆者曾經使用過“@NM0Ltaobao”作為淘寶密碼。其密碼設置依據(jù)為：重要度用“.(低)”、“!(中)”和“@(高)”表示，空間用“N(network)”和“l(fā)(life)”表示，錢財用“M(money)”和“n(null)”表示，是否涉及職業(yè)則用“0(生活)”和“1(工作)”表示，簡易程度用“L(long)”和“s(short)”表示。為了加強與使用“環(huán)境”的相關性，以類型進行區(qū)分“P(platform)”和“e(equipment)”，再依據(jù)平臺，根據(jù)其具體功能進行劃分“L(login)”、“p(payment)”和“o(other)”；最終加上平臺/設備名，即上述密碼中的最后6位“taobao”，密碼構成結構如圖2所示。

依據(jù)該方法設置密碼，增加了密碼的長度及關聯(lián)性(便于記憶)，從根本上提高了密碼的安全層次。但上述結構并非完美，例如對于存在位數(shù)限制或者特殊字符限制等情況，圖示“結構”則需要進行一些變動。針對位數(shù)限制，則需要壓縮“層數(shù)”；而對于特殊字符限制，則需要重新定義每個“節(jié)點”所對應的加密“字符”。針對于此結構給出新的啟示，即“樹”的左邊部分(@NM0L)可以將每個分支化為“0”和“1”的二進制形式(從上向下11111)，最后轉化成一個十進制數(shù)(31)，這也是一種新的密碼設置方法，具體結構如圖3所示。

圖2 混雜密碼設置結構示例

圖3 以二進制形式描述密碼分類結構

圖3類似于“摩爾斯電碼對照表”。從這一角度來看，混雜密碼設置方法，給密碼安全設置了兩重防線：一是密碼本身，二是“密碼對照表”的存在。利用該方法設置密碼，密碼安全等級高，暴力破解難度大，從根本上斷絕了撞庫風險。由于該方法需要進行一定的規(guī)劃，且需要設置一個“結構”，同時該結構需要單獨保存，因此使用較為復雜。

3.3 基于編碼的密碼設置方法

基于編碼(強度)的密碼設置指不依賴使用場景，單純從復雜(安全)程度來設置密碼?；诰幋a的密碼設置涉及位數(shù)和字符限制問題，其暴力破解難度為指數(shù)級。其中“位數(shù)”限定了指數(shù)，而“字符限制”則限定了底數(shù)。例如4位純數(shù)字，暴力破解次數(shù)為104(10*10*10*10=10 000，每一位有10種可能，則4位密碼有10 000種可能)；而對于全字符(假設10位數(shù)字、52位字母、5位特殊字符)4位密碼來說，暴力破解次數(shù)為(10+52+5)4(67*67*67*67=20 151 121，每一位有67種可能，則4位密碼有20 151 121種可能)，其復雜程度超過純數(shù)字次數(shù)約2 015倍。

上述剖析了位數(shù)和字符數(shù)的設置所帶來的暴力破解的難度?；诖?，從密碼本身的編碼安全來分析，在考慮密碼長度的情況下，分為純數(shù)字密碼和組合型密碼二種。目前，除了“特殊領域(銀行卡、校園卡、門禁等)”使用純數(shù)字，其它使用密碼的情形幾乎全為組合密碼。

3.3.1 純數(shù)字密碼

此處的純數(shù)字是指有位數(shù)限制、特殊領域的純數(shù)字。例如4位、6位、8位的密碼箱、銀行卡、校園卡門禁等情況。對于純數(shù)字密碼而言，可對個人常用的密碼數(shù)字進行以下處理：

(1)逆向設置；

(2)奇偶交換設置；

(3)左右交換方式。

此處提供參考思路，僅列舉了3種密碼設置方法提升密碼的安全性。

以校園卡密碼設置為例，假設卡號為19960810作為原始密碼進行變換。采用方法如下：

(1)進行密碼設置，則為01806991；

(2)進行密碼設置，則為91698001；

(3)進行密碼設置，則為08101996。

以上3種方法也可以“混用”。具體實例操作見表2。

表2 純數(shù)字密碼設置示例

由此得出，采用該方法設置密碼，不僅具有關聯(lián)性(便于記憶)，同時極大的提升了密碼的安全性。

3.3.2 組合型密碼

組合型定義了密碼基礎強度，包括全字符組合和混合字符組合。全字符組合包括數(shù)字、大小寫英文、特殊符號；混合字符組合則是全字符組合的一部分。數(shù)字(0-9,10個)、大小寫英文(a-zA-Z，5二個)、特殊字符(33個)等；顯然易見，暴力破解組合型字符相對于純數(shù)字難度(底數(shù)增加)要大的多。

由于常用平臺密碼設置要求的非統(tǒng)一性，筆者對目前常用平臺進行了密碼要求的統(tǒng)計，見表3。其中，要求最簡單的是中國鐵路12306和163郵箱等，要求最復雜的是中國及多國專利審查信息查詢(其后簡稱專利查詢)。可以看出，只要密碼復雜度滿足專利查詢，即可滿足表中所有平臺的要求。因此，可以將專利查詢的密碼要求(密碼長度在8-18之間，至少有一個數(shù)字、小寫字母、大寫字母、特殊字符)作為組合型密碼的基本要求，即密碼設置的最低標準，方可滿足所有情況下的密碼要求。以設置淘寶密碼為例，可以設置為“10@Taobao”，1是涉財、0是登錄、@特殊符號間隔、Taobao對應平臺，4個部分可以打亂排序；再以設置校園卡密碼和學生系統(tǒng)密碼為例，可以分別設置為“School@1”、“School@0”等。

此處的組合型密碼不同于混雜密碼設置，組合型密碼注重的是滿足平臺要求，而混雜密碼則注重的是按分類設置，二者都應在滿足各自特點的情況下提升密碼強度并提高可記憶性。

表3 常用平臺密碼設置要求統(tǒng)計

3.4 基于擴散和混淆的密碼設置方法

以上方法可以幫助人們理清思路，以較好的方式解決日常生活中設置密碼的問題。但是，對于密碼的設置需要一個科學的理論依據(jù)和指導。1949年美國數(shù)學家、信息論的創(chuàng)始人克勞德·艾爾伍德·香農(Claude Elwood Shannon)發(fā)表了《Communication Theory of Secrecy Systems》(保密系統(tǒng)的通信理論)，提出了混淆(confusion)和擴散(diffusion)兩大設計原則，為對稱密碼學(發(fā)送者的加密密鑰和接收者的解密密鑰相同或容易相互導出的密碼體制)建立了理論基礎。擴散和混淆的目的是為了對抗對手對密碼體質的統(tǒng)計分析[3]。擴散是指：明文中的每一位影響密文中的許多位，或者說讓密文中的每一位受明文中的許多位的影響，以屏蔽明文的統(tǒng)計特性；混淆是指：將密文與密鑰之間的統(tǒng)計關系變得盡可能復雜，使得對手即使獲得了關于密文的一些統(tǒng)計特性，也無法推測密鑰。通過對上述概念的分析，筆者認為，對于“口令”而言，可以借鑒擴散和混淆并適應到“口令”的設置之中，以防范撞庫攻擊或社工攻擊中的密碼分析。

無論是基于場景還是基于編碼，皆是對于密碼字符串的設置，因此可以借鑒混淆和擴散兩大原則，加之同時采用古典密碼體系中的方法，則可以實現(xiàn)產生較好的密碼設置效果。對于密碼的設置研究，主要是脫離弱口令、增加暴力破解難度，防止密碼分析帶來的撞庫問題；通過上述擴散和混淆的概念，我們可以利用擴散增加位數(shù)、字符數(shù)，以脫離弱口令、增加暴力破解難度；以混淆來減小不同平臺下的密碼之間的統(tǒng)計關系,見表4。

表4 基于擴散和混淆的密碼設置示例

3.5 自建密碼設置模型

自建密碼設置模型兼顧場景和強度。先以場景進行分類，標注不同程度的密碼層級，進而設置不同強度的密碼。按場景重要程度可分為3類：涉財類、常用類、普通類。為了便于記憶，3種類型皆以最高強度設置作為密碼設置要求，即“密碼長度在8-18之間，至少有一個數(shù)字、小寫字母、大寫字母、特殊字符。

首先規(guī)范密碼格式：以平臺名稱+平臺功能+特殊符號+數(shù)字格式為例。為便于記憶，平臺名稱應明確界定中文字數(shù)。例如，阿里、奇藝、付寶，也可以自定義漢字個數(shù)(按重要程度設置平臺字數(shù)，若平臺名稱不足的可以自定義漢字進行填充)。平臺名稱可以用“駝峰命名法”進行拼音、英文拼寫，也可以自定義拼寫方法(例如漢字拼音的最后一個字母大寫或者只是最后一個字母小寫)。平臺功能一般分為二種：

(1)功能(登錄、支付、獨立密碼等)；

(2)類型(例如網易郵箱、網易云音樂、網易游戲等)。

特殊符號和數(shù)字則可以自定義。以支付寶、網易和百度3個平臺密碼設置為例，見表5。

從表5可以看出，3種重要程度不同的平臺，為了便于記憶格式上相同，但是各平臺的最終密碼卻大相徑庭。使用該方法設置密碼，只需要牢記自定義的規(guī)則便可輕松實現(xiàn)對各平臺密碼的“掌控”。

表5 自建密碼模型樣例

3.6 二次處理加記錄的密碼保管方法

對于密碼的保管，筆者認為，較合適的方法是二次處理+平臺/設備記錄。二次處理類似于加密，但又不同于加密；以密碼taoBaoL$6991為例，描述詳見表6。

對于平臺/設備記錄，則是直接將二次處理后的密碼寫入到移動設備(手機、平板)中的便簽或記事本等相似的系統(tǒng)中，亦或者寫入到網絡平臺中。采用上述方法保管/記憶密碼，不僅可以加強密碼設置的記憶，同時提升密碼存儲層級(不泄露、便于記憶)。

在此，不建議瀏覽器插件記錄密碼，雖然快捷，但不便于跨設備，且存在他人利用該設備登陸平臺的風險。

4 結束語

密碼的設置看似簡單，實則是一門方法論，設置的手段和方法至關重要。本文首先是對研究對象進行闡述加以界定，并描述其研究背景。從社會工程學的視角出發(fā)，分析密碼設置的挑戰(zhàn)和保管的困境。根據(jù)上述問題，提出3種密碼設置方法，并建立密碼

設置模型，最終提出可行且合理的密碼保管方案。對于密碼設置的方法千千萬，但合適自己的才是最好的；密碼保管尤為重要，相對于密碼遺失或許密碼遺忘不失為一種安全手段。