汤永利

密码学看似高深莫测，其实与我们的生活密切相关，扮演着保护公共及个人信息的看门人角色。在家喻户晓的阿拉伯传说故事《一千零一夜》中有一个阿里巴巴与四十大盗的故事，当阿里巴巴喊出“芝麻开门”时，藏宝山洞就会缓缓打开。在这里，阿里巴巴使用的就是密码学中一种特殊的语音口令。

芝麻开门：密码无处不在

在日常生活中，当用户和数字设备交互，或者是通过客户端登录系统时，往往会用到一种被称为身份认证的安全技术。这种技术用于鉴别用户身份的真伪性，从而保证之后一系列操作是合法有效的。在种类繁多的身份认证技术中，口令认证是目前最常用的方式，在登录电子邮箱、使用自动取款机业务和登录许多数字应用的过程中，都需要使用用户名和口令来认证用户的合法身份。

第二次世界大战期间，德国凭借恩尼格玛密码进行军事通信，英国虽然召集了图灵等密码天才，却也对此一筹莫展。德军规定发送情报时每次必须更换临时密码，可是有个发报员却因为图省事，一直使用自己女友名字的缩写作为临时密码。当图灵等人偶然发现这个规律时，破译了当时被认为不可能被破解的机器。据专家估计，对恩尼格玛密码的破解，使第二次世界大战足足缩短了两年，拯救了2000万人的生命。

如何编一个安全又好记的口令

生活中接触的各种微博、游戏账号、软件、银行卡越来越多，需要记住的账号及口令也越来越多。什么样的口令才是安全的，如何才能安全地使用口令？这样的问题答案你可能已经听腻了：口令设置得长一些、混合数字字母符号、不要采用自己的生日、避免任何可能联系到你本身的口令……到底要如何设置一个难以破解的口令呢？

（1）长度很重要

口令的长度直接影响口令强度。因为攻击者在猜测口令时，最简单的方法就是把所有可能的口令都试一遍，如果口令达到一定长度，攻击者尝试的这种攻击方式在时间上变得不太可行。推荐口令长度至少12～16位，以此来保证口令的安全性。

（2）不要使用明显的信息作为口令

对于口令猜测，聪明的攻击者还会使用社会工程学来试探你的口令，比如通过网络搜索查找到关于你的所有信息如名字、生日、电话号、宠物名等。类似此类能够轻易通过社交媒体获取的信息都不要作为口令。还有一些攻击者拥有口令字典，保存了网络中常用的口令和一些系统默认的口令等，对于过于随意设置的口令很容易通过字典猜出。

我们在设置口令时可以用别人的生日，但不建议用爸爸妈妈、子女等人的生日，可以用兄弟姐妹的生日，或者拿自己生日的数字调换一下顺序。年月日换成日月年或者月日年，或者将数字10变成01等，如生日是20081007，我们可以将口令设置为018007。

（3）句子比单词好

可以使用容易记忆的金句，比如喜欢的书或看过的电影中的句子，可以使用这些句子的首字母再加上特别的符号或数字，这样保证能够记住的同时，还增加了口令的长度和复杂度。比如古诗“锄禾日当午，汗滴禾下土”，我们可以将其换成口令“chrdw-hdhxt”。

（4）使用特殊符号

当创建一个口令时，不要忘了还能用空格、下划线等特殊符号，这些符號往往会被口令破解工具忽略，适当的使用特殊符号能够让“口令组”更复杂。例如：CK%R4T#9sk-1，这就是一个高强度的好口令，但是记下来比较困难。

（5）不要忽视邮箱口令

邮箱是口令重置的方式之一，为邮箱设置一个安全的口令并且定期进行更改，对于其他所有账户来说也就额外多了一层保护。比如网易邮箱口令可以设置为chrdw-hdhxt163，过3个月后可以更改为chrdw-hdhxt166等。

（6）频繁更换

口令使用时间越长，暴露的风险越高；在不同系统中设置相同的口令越频繁，口令被攻击者获取的机会也越多。因此不要偷懒！给不同的账户设置不同的用户名，并且不要重复使用口令！同时建议每个口令间隔60～90天就更换一次。比如我们用chrdwhdhxt 2018！作为基础口令，那么QQ口令我们可以设置为Qchrdwhdhxt 2018！Q，淘宝口令我们可以设置为Tchrdwhdhxt 2018！B等，这样给自己制定一个规则，使口令好记又安全。

知识链接：口令与密码

口令也经常被人们口头称为“密码”，代表着内容需要保密的数字或字母信息。它和密码学上的密码在定义和安全要求上有明显的区别。密码学上的密码通常是指一类算法，经过复杂的变换将输入信息转成表面与其无关的输出信息；而口令认证中的“密码”无需特定的转换，一般由用户自主产生。从安全性要求上两者也有差别：密码学中的密码本身是公开的算法或标准；而后一种“密码”需要绝对保密，一旦攻击者获得全部或部分信息之后，就不再安全了。