【网络安全】网络安全的最后一道防线——“密码”

---

前言

先来盘点一下最近耳熟能详的黑客入侵事件

超星学习通泄露1.7亿条信息事件

2022年6月20日，高校学习软件“学习通”数据库信息大规模泄露，包含姓名、手机号、性别、学校、学号、邮箱等信息，数量多达1亿7273万条，含密码1076万条。

武汉市地震监测中心遭境外网络攻击事件

今年同样因为热搜被大众熟知的武汉市地震监测中心遭境外网络攻击事件也是如此。

2023年7月26日，武汉市应急管理局地震监测中心报警称，该中心发现部分地震速报数据前端台站采集点网络设备被植入后门程序，该行为对我国国家安全构成严重威胁。

武汉市公安局江汉分局随即对此案立案侦查，初步判定，此事件为境外具有政府背景的黑客组织和不法分子发起的网络攻击行为。

武汉地震监测中心站由湖北省地震局管理，包含武昌、应城、麻城、黄石、黄梅、九宫山等6个监测站，主要开展地震预报预警、地震灾害风险防治和应急响应等业务工作和科研活动。

据江汉分局警情通报显示，此次武汉地震监测中心遭受网络攻击后，地震速报前端台站采集的地震烈度数据极有可能被窃取。

这几件事由于上了微博热搜，大家可能有所耳闻，但更多的安全事件是不被大众所了解的。

2021年1月5日，超2亿条国内个人信息在国外暗网兜售事件
2021年2月9日，针对农信社和城商行的短信钓鱼攻击事件
2021年3月15日，智联、猎聘等平台简历泄漏流入黑市事件
2021年6月17日，淘宝近12亿条用户数据遭泄露事件
2021年7月2日，滴滴严重违法收集售卖个人信息事件
2022年4月16日，我国电信设施遭网络窃密事件
2022年4月22日，Fodcha僵尸网络在国内大规模传播事件
2022年10月17日，深圳证监局辖区某券商OA系统遭攻击事件
2022年12月20日，蔚来汽车披露数据安全事件
2023年2月12日，各快递和购物平台45亿条信息泄漏事件

我们应当坦然承认，当前境外敌对势力攻击能力十分强大，攻击手段多样，任何传统网络安全设备并非铁板一块、牢不可破。

然而亡羊补牢犹未晚也！

我们应该积极思考的是当传统网络安全遭到攻击和破坏时，有没有最后的一道防线来抵御？

答案是确定的，这道防线就是现代密码技术。

密码是网络安全的核心技术，是网络空间中网络信任的基石，是保护我们党、国家和人民根本利益的战略性资源，更是国之重器。这一点在中国共产党创建和发展的长期历史经验中已得到广泛的验证，经受了无数次考验。因此，承担防御任务，密码技术是合适的。

而商用密码，即不涉及国家秘密的密码。包括企业、组织、个人、乃至银行金融系统都属于商用密码的范畴。所以我们平常接触到的密码大多都和商用密码息息相关。

接下来我们就来认识一下国内密码是如何划分的
接下来我们就来认识一下密码是如何诞生的

一、密码起源

密码其实早在公元前400多年就已经产生，人类使用密码的历史几乎与使用文字的时间一样长。

1、 古代密码

古典密码学的历史可以追溯到公元 400 年前，斯巴达人发明了“塞塔式密码”。

即把长条纸螺旋形地斜绕在一个多棱棒上，将文字沿棒的水平方向从左到右书写，写一个字旋转一下，写完一行再另起一行从左到右写，直到写完。

解下来后，纸条上的文字消息杂乱无章、无法理解，这就是密文，但将它绕在另一个同等尺寸的棒子上后，就能看到原始的消息。

这是最早的密码技术。

而在我国古代也早有以藏头诗、藏尾诗、漏格诗及绘画等形式，将要表达的真正意思或“密语”隐藏在诗文或画卷中特定位置的记载，即密码的雏形。

这一时期的密码学更像是一门艺术，其核心手段是代换和置换。

代换是指明文中的每一个字符被替换成密文中的另一个字符，接收者对密文做反向替换便可恢复出明文

置换是指密文和明文字母保持相同，但顺序被打乱

代换密码的著名例子有古罗马的凯撒密码（公元前1世纪）和法国的维吉尼亚密码（16世纪）。

凯撒密码是对字母表中每个字母用它之后的第k个字母来代换。

如：

明文为“comeatnine”
（k=5）将每个字母向后移动5位得到密文
密文为“htrjfysnsj”

但这种加密方式无法掩盖各字母的频率特征，极易被破解。

维吉尼亚密码相比之下提升了安全性，它的密钥通常是一个单词。

如：

密钥为“hear”
明文为“comeatnine”

分析密钥hear,H位于26个字母第8位；E位于第5位；A位于第1位；R位于第18位；
加密时将第1个字母后移8位
第2个字母后移5位
第3个字母后移1位
第4个字母后移18位

得到密文“jsmvhxnzui”

这里的密钥为一个单词，较为简单，将其替换为一本厚厚的密码本，即是抗战时期发电报用的密文。

2、近代密码

密码形成一门新的学科是在20世纪70年代，这是受计算机科学蓬勃发展刺激和推动的结果。

计算机和电子学时代的到来给密码设计者带来了前所未有的自由！

这一阶段真正开始源于香农在20世纪40年代末发表的一系列论文，特别是1949年的《保密系统通信理论》，把已有数千年历史的密码学推向了基于信息论的科学轨道。

近代密码发展中一个重要突破是“数据加密标准”（DES）的出现。

DES密码的意义在于，首先，其出现使密码学得以从政府走向民间，其设计主要由IBM公司完成，国家安全局等政府部门只是参与其中，最终经美国国家标准局公开征集遴选后，确定为联邦信息处理标准。其次，DES密码设计中的很多思想（Feistel结构、S盒等），被后来大多数分组密码所采用。再次，DES出现之后，不仅在美国联邦部门中使用，而且风行世界，并在金融等商业领域广泛使用。

随着计算机的进步，现在DES已经可以被暴力破解了

简单来说，其加密的原理如下：

加密步骤如下（细化加密步骤，看不懂可以直接跳过）

因为DES的密钥长度是64比特，也就是8个字节。但是DES每隔7 比特会设置一个错误校验位（它的第8、16、24、32、40、48、56、64位是校验位，使得每个密钥都有奇数个1），所以真正的密钥长度是56比特，只有56位参与DES运算。

DES加密首先要进行IP置换，⽬的是将输⼊的64位数据块按位重新组合，并把输出分为L0、R0两部分，每部分各长32位。

然后密钥置换，不考虑每个字节的第8位，DES的密钥由64位减⾄56位，每个字节的第8位作为奇偶校验位。产⽣的56位密钥由规则表⽣成；

在DES的每⼀轮中，从56位密钥产⽣出不同的48位⼦密钥，确定这些⼦密钥的⽅式如下：

1).将56位的密钥分成两部分，每部分28位。
2).根据轮数，这两部分分别循环左移1位或2位。每轮移动的位数按规则表

移动后，从56位中选出48位。这个过程中，既置换了每位的顺序，⼜选择了⼦密钥，因此称为压缩置换。压缩置换规则按规则表；

其次进行扩展置换，扩展置换⽬标是IP置换后获得的右半部分R0，将32位输⼊扩展为48位(分为4位×8组)输出。

最后一步是S盒代替，把压缩后的密钥与扩展分组异或以后得到48位的数据，将这个数据送⼈S盒，进⾏替代运算。替代由8个不同的S盒完成，每个S盒有6位输⼊4位输出。48位输⼊分为8个6位的分组，⼀个分组对应⼀个S盒，对应的S盒对各组进⾏代替操作。

3、现代密码

1976 年，美国密码学家提出“公钥密码”概念。此类密码中加密和解密使用不同的密钥，其中，用于加密的叫做公钥，用于解密的为私钥。

1977年，美国麻省理工学院提出第一个公钥加密算法RSA算法，之后ElGamal、椭圆曲线、双线性对等公钥密码相继被提出，密码学真正进入了一个新的发展时期。

RSA算法属于非对称密码的一种，除此之外还有流密码RC4，非对称密码ECC等等

以广为使用的RSA算法为例，它的安全性是建立在大整数素因子分解在计算机上的困难性。

比如：

对于整数22，我们易于发现它可以分解为2和11两个素数相乘
但对于一个500位的整数，即使采用相应算法，也要很长时间才能完成分解。

但随着计算能力的不断增强和因子分解算法的不断改进，特别是量子计算机的发展，公钥密码安全性也渐渐受到威胁。所以，研究者们开始关注量子密码、格密码等抗量子算法的密码。

4、量子密码

量子密码技术是一种新的重要加密方法，它利用单光子的量子性质，借助量子密钥分配协议可实现数据传输的可证性安全。

量子密码具有无条件安全的特性

即不存在受拥有足够时间和计算机能力的窃听者攻击的危险

提到量子密码，不得不聊聊国产加密算法

SM2加密算法，中国第一个纳入国际密码标准的密码算法！
SM3加密算法，被纳入国际标准并发布!
SM4加密算法，被纳入ISO/IEC国际标准正式发布！
SM9加密算法，我国首个全体系纳入ISO/IEC标准的非对称密码算法！
ZUC序列密码算法，再次顺利成为ISO/IEC国际标准

而这些国产密码技术发展壮大的同时，也构成了现在商用密码的基础

二、商密专栏推荐

2023年7月1日起施行《商用密码管理条例》

2023年11月1日起，施行《商用密码应用安全性评估管理办法》

商密内容很多很杂很难，展开叙述我目前还没这个能力，所以点到为止。写此文目的之一也是推荐商密专栏，感兴趣可以在专栏中共同学习商密!

商用密码专栏

商用密码思维导图下载

三、如何利用密码保护账号安全？

近年来，随着登录账号二次安全认证的推行，盗号难度有所提升。

但很多人仍习惯将密码设置为生日、手机号、纪念日、姓名等简单信息，以及“一套密码走天下”。

这样的密码简单重组容易被爆破。不法分子也通过各种邮件话术、手段 (如链接、二维码等) ，诱导用户主动交出账号密码以及验证码。那么，我们要如何抵御盗号威胁呢?

首先，要了解，账号到底存在什么危险

1、账号安全的三大危险？

（1）口令攻击

口令攻击包含暴力破解和撞库。

暴力破解指的是不断更换密码尝试登陆账号，一般频率较高，产生大量登陆失败。

首先，攻击者要确定攻击目标

攻击者使用扫描器，扫描邮件域名服务器是否开启了可攻击的端口，如25（smtp），110（pop3），143（imap）。

其次，攻击者准备攻击武器库

根据攻击目标暴露的个人信息，姓名、手机号、qq号等，生成不同组合的密码字典，

如前缀qq＋32132332（qq1266346234）
前缀 姓名＋手机号（xiaoming13923452712）
等等…

最后，攻击者开始尝试攻击

设置需要进行攻击的账号、攻击武器库、攻击的频率等，开始不断尝试攻击，直到尝试成功或武器库用完为止。

撞库指的是利用社工库中查到的密码尝试登陆，攻击频率低，针对性强，命中率高。

由于用户可能在不同网站使用相同的账号密码，所以可以拿到一个账号密码信息后进行撞库。

（2）钓鱼邮件、垃圾短信、骚扰电话

这种情况，黑客会冒充邮件管理人员，发送第三方钓鱼链接（在邮件正文中带有指向网站的链接），诱导相关人员点击，从而盗窃账号密码

而垃圾短信中同样包含链接的，也是存在安全隐患。

如果说你已经收到国垃圾邮件和垃圾短信，说明你的邮箱号和手机号已经泄漏了，但作为用户本身根本察觉不到什么时候泄漏以及如何泄漏的。

同理，当密码泄漏时自身也很难察觉到！

（3）木马病毒

木马想必大家都已经很熟悉了，但这些还是有必要了解，提高警惕

比如黑入手机摄像头，实现无声拍照

包括对正脸进行拍照（摄像头不会闪光哦），采集正脸照片可以用来干嘛不需要我多说了吧

比如黑入手机音频，远程开启录音

尤其是对某些数字的读音，会被二次利用作为其他平台登录的语音验证

比如黑入手机，远程查看通讯录，短信，微信聊天记录，记事本等等

说了这么多，那这些信息到底是怎么泄漏的呢？

2、干哈呢，信息是咋泄漏的？

（1）谨防钓鱼网站

不要轻信手机上的中奖信息，陌生网址切记莫点击，钓鱼网址惯用的手段之一就是“恭喜中
奖”

（2）网络购物的收件信息切勿过于详细

很多人在填写收件信息时为了方便快递送上门会将地址写的很详细，取件后也会将留有个人信息的快递袋随手一扔，这会让“有心人”钻了空子

（3）警惕各类APP的授权协议

APP一定要从正规的官方渠道下载，要看清APP的各类授权协议，尤其是关于个人隐私或支付的条款。

（4）不用的手机要记得清除所有数据

换新手机后，很多人会将旧手机变卖，而存在手机里未删除干净的信息资料会让不法分子有了可乘之机。

（5）“个性化服务”泄露隐私

很多个性化服务都需要个人信息，不少商家与社交网站合作，通过无线网络确定用户位置，从而推送商品或服务，用户就会被实时“监控”。

（6）不要随意丢弃个人单证

很多时候我们会将作废的快递单、火车票、银行对账单随意丢弃。这些单证有姓名、银行卡号、身份证号等信息，随意丢弃会造成个人信息泄露。

3、不就是信息泄露了，还能咋滴？

（1）冒名办卡透支欠款

有人通过买来你的个人信息，复制你的身份证，在网上骗取银行的信用，从银行办理出各种各样的信用卡，恶意透支消费，然后银行可能直接将欠费的催款单寄给了身份证的主人。

（2）垃圾短信源源不断

个人信息被泄露后，你的邮箱可能每天都会收到多封垃圾邮件，也是以推销为主，而且是乱七八糟且没有创意的广告，还可能会经常被陌生人打电话，有推销保险的，有推销装修的，有推销婴儿用品的。

（3）账户钱款不翼而飞

有些不法分子办一张你的身份证，然后挂失你的银行账户或信用卡账户，然后重新补办你的卡，再设置个密码，如果你长时间不使用银行卡，里面的钱款说不定已经不翼而飞了。

（4）坑蒙拐骗趁虚而入

因为知道了你的个人信息，那些躲在暗处的人会编出来些耸人听闻的消息，甚至对你的朋友、同学或亲戚知根知底，还能报出姓名与单位，在你心神不宁之时，可能做出错误判断，在慌乱中上了骗子的当。

（5）冒充公安要求转账

不法分子冒充公安的名义，报出你的个人信息，然后说最近经常发生诈骗案件，提醒你某个帐户不安全，要你转账，还告诉你一个公安咨询电话，你一打那个电话还会得到确认，然后你会信以为真进行转账。

4、诶妈呀，这咋防范呢？

（1）不扫来源不明的二维码

不法分子会以免费拿礼物为诱惑让你扫二维码然后注册APP，注册的过程中会填写手机号证件号等，这样你的个人信息就不知不觉泄露了。

（2）不使用来源不明的WiFi

在公共场合，尽可能使用手机自带的数据流量，不要连接公共场合的WiFi，更不要用公共WiFi进行付款。

（3）避免在公共平台泄露个人信息

不要在网上晒个人证件及银行卡、保单、手机短信、出行票据等敏感信息，关闭软件中非必要“定位”“附近的人”“允许陌生人查看”等权限。

（4）做好线下信息防护

带有个人信息的快递盒、外卖单等都要销毁相关信息后再处理。遇到陌生人让你做“问卷调查”可送小礼物时，不要贪图小便宜，暴露自己的个人信息。

（5）不轻易设置“免密支付”功能

为了安全起见，尽量不设置“免密支付”功能，如果一定要开通的话，要将银行卡设定日度限额或单次支付限额，一旦出现意外可避免损失扩大。
网警提醒：个人信息关乎我们自身利益，保护个人信息应从自我做起，当遇到个人信息被泄露时，应当拿起法律武器来保护自己。

（6）密码设置

归根到底，密码依然是最后一道把关的防线，即便前面都失误了，黑客拿到了你的手机号，生日，家庭联系人，聊天记录，数字语言，人脸照片。。。。。。

但是

还有密码！

我个人建议，密码设置时尽量遵循以下几点：

1、密码长度最好 8 位或以上
2、没有明显的组成规律，尽量不要与个人信息相关（例如生日、身份证号）
3、尽可能的使用三种以上符号，比如「字母」+「数字」+「特殊符号」组合
4、选取一个基础密码。 可以是一个成语，一句诗句，家人生日，宠物名字…一定是自己熟悉的东西。

比如我的网名是九芒星，密码设为「 jmx791myfbdhyzsct 」
（九芒星791没有风暴的海洋只是池塘）

5、叠加网站名称进行混合。

比如 京东（JD）或邮箱（youxiang）
混合叠加到基础密码中
京东的生成密码是「Jbeauty2017！ D」，QQ邮箱密码是「youbeauty2017!xiang」
以此类推。

6、添加一套自己的密码变化规则

比如银行，支付系统的密码设置为最喜欢的一首歌手名字缩写加基础密码，
比如聊天软件设置为喜欢的一首诗缩写加基础密码
等等…

四、总结

最后，还是希望大家可以保护好个人信息，关乎我们切身利益的事情不容疏忽。

商用密码我也在学习中，欢迎来专栏我们共同学习，共同进步！

商密专栏