多賬號同密碼方便？小心你的信息被「一窩端」

小明評測智能家居網訊：密碼作為一種重要的身份認證手段，隨著時代的演變，也在不斷更新。本文節選了汪德嘉博士《身份危機》一書中的賬號密碼體系，帶大家一起解密賬號密碼的發展現狀及賬號密碼存在眾多的安全性及可用性問題。

在1976年，美國密碼學家迪菲和赫爾曼在一篇題為「密碼學的新方向」一文中提出了一個嶄新的思想，不僅加密演算法本身可以公開，甚至加密用的密鑰也可以公開。

但這不意味著保密程度的降低。因為如果加密密鑰和解密密鑰不一樣。而將解密密鑰保密就可以。這一理論的提出，無疑打開了密碼學新篇章。本文節選了汪德嘉博士《身份危機》一書中的賬號密碼體系，帶大家一起解密賬號密碼的發展現狀及賬號密碼存在眾多的安全性及可用性問題。

賬號密碼發展現狀

20世紀90年代互聯網進入千家萬戶以來，互聯網服務（如郵件、電子商務、社交網路）蓬勃發展，賬號密碼成為互聯網世界裡保護用戶信息安全的最主要手段之一。也是現今大多數網路系統所使用的最簡單的訪問控制方法，通過密碼的匹配來確認用戶的合法性。

系統為每一個合法用戶建立一個ID/PW（賬號/密碼）對，當用戶登錄系統時，提示用戶輸入自己的賬號和密碼，系統通過核對用戶輸入的賬號密碼與系統內已有的合法用戶的ID/PW是否匹配，來驗證用戶的身份。

「賬號+密碼」身份驗證方式中提及的密碼為靜態密碼，是由用戶自己設定的一串靜態數據，靜態密碼一旦設定之後，除非用戶更改，否則將保持不變。這也就導致了靜態密碼的安全性缺點，比如偷窺、猜測、字典攻擊、暴力破解、竊取、監聽、重放攻擊、木馬攻擊等。

另一方面，由於許多用戶為了防止忘記密碼，經常採用諸如生日、電話號碼等容易被猜測的字元串作為密碼，或者把密碼記錄在一個自認為安全的地方，這樣很容易造成密碼泄露。

當然，為了從一定程度上提高靜態密碼的安全性，用戶可以定期對密碼進行更改，但是這又導致了靜態密碼在使用和管理上的困難，特別是當一個用戶有幾個甚至幾十個密碼需要處理時，非常容易造成密碼記錯和密碼遺忘等問題，而且也很難要求所有的用戶都能夠嚴格執行定期修改密碼的操作，即使用戶定期修改，密碼也會有相當一段時間是固定的。賬號密碼的不足之處主要表現在以下幾點：

賬號密碼的易用性和安全性互相排斥，兩者不能兼顧，簡單容易記憶的密碼安全性弱，複雜的靜態密碼安全性高但是不易記憶和維護；

賬號密碼安全性低，容易遭受各種形式的安全攻擊；

賬號密碼的風險成本高，一旦泄密將可能造成最大程度的損失，而且在發生損失以前，通常不知道靜態密碼已經泄密；

賬號密碼的使用和維護不便，特別一個用戶有幾個甚至十幾個靜態密碼需要使用和維護時，靜態密碼遺忘及遺忘以後所進行的掛失、重置等操作通常需要花費不少的時間和精力，非常影響正常的使用感受。

靜態口令認證技術在面臨上述形式的網路攻擊時就顯得非常的脆弱，攻擊者非法獲得合法用戶的口令併入侵網路系統的安全事件經常發生。為了提高靜態口令認證系統的安全性，一些系統對用戶的口令管理作一定的限制，例如限制口令的長度和內容

要求定期更換口令

要求用戶在固定時間段內登錄

要求用戶在固定設備上登錄

不允許多人共享一個用戶名和口令等。

儘管賬號密碼存在眾多的安全性及可用性問題，同時也有大量的新型身份認證技術被提出，這些替代型方案有的在安全性方面優於賬號密碼，有的在可用性方面勝過賬號密碼，但幾乎都在可部署性(deployability)方面劣於賬號密碼，並且各自存在一些固有的缺陷。賬號密碼身份認證方式憑藉其簡單易用、成本低、容易更改等特點，在可預見的未來，仍然是互聯網中最主要的身份認證方式。

賬號密碼市場調研分析

靜態口令即賬號密碼，賬號密碼是由人生成的，因此帳號密碼的安全性與人有著必然的聯繫，大多數用於為了記憶方便，習慣性使用弱密碼、多個平台使用同一密碼、未定期更換密碼等。

比如，同樣是註冊12306賬號，有的人認為該賬號不重要，使用弱口令「111111」作為密碼；也有的人採用「p@ssword」作為密碼，但是，如果其他人也有同樣設置密碼的習慣，攻擊者即會了解這一用戶行為，該密碼也就成為弱口令的一種；再有的人習慣用自己的生日作為密碼，甚至是多個平台使用同一密碼，這一用戶行為大大降低賬號密碼的安全性。

在第二屆國家網路安全宣傳周的啟動儀式上，《我國公眾網路安全意識調查報告（2015）》正式發布。該調查為我國首次開展的全國性網路安全意識調查活動，在一個月的時間裡，回收有效問卷25萬餘份，調查對象覆蓋我國31個省（區、市），年齡跨度從7歲的兒童至60歲以上的老年人。我國公眾使用賬號密碼安全性問題主要表現在如下三個方面：

1. 弱口令

1979年，Morris和Thompson在他們的開創性論文里分析了3289個真實用戶口令，發現86%落入普通字典，33%可以在5min內搜索出來。後續大量研究表明，除了選擇單詞作口令，用戶常常將單詞進行簡單變換，以滿足網站口令設置策略的要求。

比如「123abc」可以滿足「字母＋數字」的策略要求。這些最流行的單詞及其變換就形成了國民口令。中文國民口令多為純數字，而英文國民口令多含字母，這體現了語言對口令行為的影響。有趣的是，愛情這一主題在國民口令中佔據了重要地位。高達1.01%～10.44%的用戶選擇最流行的10個口令，這意味著攻擊者只要嘗試10個最流行的口令，其成功率就會達到1.01%～10.44%。

2. 未定期更換密碼：

《我國公眾網路安全意識調查報告（2015）》顯示，定期更換密碼的被調查者僅佔18.36%，而遇到問題才更換密碼的被調查者有64.59%，有17.05%的被調查者從來不更換密碼（見圖6-1）。

對此，工業和信息化部電子科學技術情報研究所所長洪京一表示，定期更換密碼對保證個人賬戶安全、防止個人隱私泄露具有重要意義，尤其是個人網銀等較為重要的賬號應該定期更換密碼。

圖6-1 公眾更換密碼情況分析

3. 多賬號同密碼

調查指出，公眾多賬號使用同一密碼的情況高達75.93%（見圖6-2），多賬戶使用同一密碼更容易遭到黑客攻擊，因為黑客可通過防禦性較弱的網站獲取密碼信息，再登錄到賬戶中進行信息竊取。

調查顯示，我國超七成被調查者存在多賬號使用同一密碼的問題，特別是青少年多賬號使用同一密碼的比例高達82.39%。

圖6-2 公眾密碼設置情況

技術原理

在賬號密碼技術的運作過程中，系統將賬號密碼的配對信息以密文形式存儲在資料庫中，通過系統管理員分配給用戶，用戶在需要進行身份認證時，在頁面輸入註冊的用戶名及密碼，系統獲取這組輸入的信息後，將其與資料庫中存儲的用戶名，密碼進行比對，比對一致即視為認可該用戶為合法用戶，若比對不通過，則視為非法用戶。靜態密碼技術原理圖（見圖6-3）。

圖6-3 靜態密碼技術驗證流程圖

用戶名（賬號）/密碼的對比校驗支持在本地完成，對於無需網路支持的系統或者移動端信息系統，例如手機、平板電腦的開機密碼，我們稱之為本地密碼認證，而與之相對的是遠程密碼認證，一般用於需要網路支持的應用及信息系統，由伺服器端來負責驗證，例如電子郵件、網路遊戲的賬號、密碼等。

賬號密碼的存儲方式分為：Hash雜湊存儲、鹽處理存儲等，詳細介紹如下：

Hash雜湊存儲

技術原理

使用雜湊函數為口令文件產生指紋，將每一個用戶的賬號和密碼的雜湊值存儲在一個口令文件（資料庫）中。當用戶需要認證身份時，輸入口令後，系統在計算口令的雜湊值，與資料庫中存儲的雜湊值比對。比對成功，則身份認證成功；反之，若比對失敗，則身份認證失敗。靜態密碼雜湊存儲技術原理（見圖6-4）。

圖6-4 靜態密碼雜湊存儲技術原理

加鹽處理

技術原理

加鹽加密是一種對系統口令的加密方式，它實現的方式是將每一個口令同一個叫做「鹽（salt）的n位隨機數相關聯。

無論何時只要口令改變，隨機數就改變。隨機數以未加密的方式存放在口令文件（資料庫）中，這樣每個人都可以讀。不再只保存加密過的口令，而是先將口令和隨機數連接起來然後一同加密，加密後的結果放在口令文件中。靜態密碼加鹽存儲技術原理（見圖6-5）。

圖6-5 靜態密碼加鹽存儲技術原理

在帶有鹽度值的安全哈希加密演算法中，鹽度值的作用極其重要，通過系統為每個用戶隨機生成一個鹽度值，並與用戶提供的密碼相結合，使得用戶的密碼具有高度的隨機性，即便多個用戶提供了相同的密碼，但由於系統為他們隨機生成的鹽度值的不同，使得他們密碼的哈希值也是不同的。

這樣，即便攻擊者可以通過特定的密碼和其對應的哈希值來找具有這個特定密碼的用戶，但是其成功率就明顯地降低了。

帶有鹽值的Hash演算法優勢

採用帶有鹽值的安全哈希加密演算法對用戶密碼進行加密後，即便多個用戶提供了相同的初始密碼字元串，但由於系統為每個用戶隨機生成的鹽值不同，而使得加密得到的密文不同，這就使得利用字典、彩虹表進行攻擊的攻擊者需要為每個鹽度值創建一條字典記錄，這將使攻擊變得非常複雜。

此外，通過將系統提供的較長的、含有特殊字元的附加碼和用戶輸入的密碼相結合，可以使得明文密碼進一步隨機化，並且增加了明文密碼的長度，這也在一定程度上增加了攻擊者利用字典、彩虹表進行攻擊的難度。因此，採用帶有鹽度值的安全哈希加密演算法對用戶密碼進行加密可以很好地提升用戶密碼的安全性。

結束：

在現代密碼學中，除了信息保密外，還有另一方面的要求，即信息安全體制還要能抵抗對手的主動攻擊。

所謂主動攻擊指的是攻擊者可以在信息通道中注入他自己偽造的消息，以騙取合法接收者的相信。主動攻擊還可能竄改信息，也可能冒名頂替，這就產生了現代密碼學中的認證體制。該體制的目的就是保證用戶收到一個信息時，他能驗證消息是否來自合法的發送者，同時還能驗證該信息是否被竄改。在許多場合中，如電子匯款，能對抗主動攻擊的認證體制甚至比信息保密還重要。

社會已逐步步入了信息時代，隨著資料庫技術和計算機網路應用的不斷深入，信息的安全傳輸也有著廣闊的應用前景。

PKI是一種遵循標準的利用公鑰加密技術為電子商務的開展提供一套安全基礎平台的技術和規範。用戶可利用PKI平台提供的服務進行安全通信。PKI的理論基礎是基於密碼學，它所使用的基礎技術包括加密（非對稱和對稱）、數字簽名、數據完整性機制、數字信封、雙重數字簽名等。在下篇文章中將帶大家一同了解什麼PKI體系？又是什麼？敬請期待！

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！