【摘要】随着互联网的发展,在用户享受互联网带来的方便、快捷的同时,也经常受到黑客和恶意攻击者的攻击,面临隐私泄露、财产安全的威胁。而其主要原因就是用户的账号和密码泄露或者被破解。如何设置一个容易记忆,而且安全度高的密码,成为现在用户的困扰。密码的记忆和密码强度有一定的冲突,密码强度越高,记忆越困难,密码强度过低,账户安全容易受到威胁。为了解决这个问题,我们设计了一款基于古典密码学的密码生成器。一串毫无规律的密码记忆起来是困难的,但是记忆一个根据账户联想起来的书名、歌曲名是很容易的。系统根据用户输入的六位密钥、doc文件的名字和用户希望得到的密码长度,生成一个密码安全性高,由数字、字母和字符组成的密码,以此来解决用户面临的困扰。
【关键词】密码;安全;密码生成机;古典密码学
引言
随着信息技术的普及和互联网的迅猛发展,人们拥有越来越多的账号和密码如:邮箱、银行密码、社区网络登录密码等。互联网不断的改变着人们的生活习惯和娱乐、工作方式,方便了人们的交流和信息获取。
在计算机出现以前,人们就建立了基于字符的密码体制,通过不同字符之间互相代换或者是相互之间的换位,生成不含有意义的字符串,即古典密码学。古典密码学的历史极为久远,一切现有的现代密码学的加密方法,几乎都是由古典密码学加密方法的组合而来的。我们的密码生成器也是根据古典密码学的代换技术演变而来的。
现如今用户面临着密码设置危机。本文介绍的软件是基于古典密码学的密码生成器,本文将讲述如何去设置易记难解的密码,并针对不同账号生成不同的密码。
一、危险密码形式
一些黑客基于密码心理学,对用户的密码进行猜解。黑客会基于用户的姓名特征、数字特征等特征,再借助于计算机或者人工分析并猜解用户密码。
1.姓名特征
如果黑客获得用户的姓名信息,就会根据用户的中文、全拼拼音或者英文名等特征,结合大小写变换对密码进行猜解。并且,这种被破解成功的概率特别高。
2.数字特征
黑客会试图收集用户的所有数字信息,如电话、生日的年月日组合、qq号码等信息。这些信息被单独的或数字信息的组合或与姓名组合作为黑客的样本信息。
3.弱口令特征
某些密码具有相当规律的数字或者密码组合,如123456、111111、password等。密码管理应用提供商SplashData总结出2012年度全球最差25个密码,其中这些弱口令密码都排在前列。黑客在破解密码的时候常常是从这些最为简单的密码开始试,甚至把一些最常见的密码编成了“密码词典”,借此尝试破解用户密码。
4.用户名特征
一些用户会根据自己的用户名设置密码。通常根据用户名设置的密码,都是与用户名相同,或者是用户名和某些数字的组合形式。这些密码都很容易被黑客所破解。
5.长度特征
长度特征也是密码的重要特征之一,用户为了设置简单易记的密码,经常设置密码长度为六位以下。而长度越短的密码,被破解的可能性就越大,安全性就越低。如果通过穷举法进行破解,一个长度为10位,由数字和字母组合而成的密码密码样本中的条目就需要有6210,而长度为3位的,只需要623个条目就可以了。
综上所述,没有收录于词典中的,和用户的姓名、生日、用户名无关的、由数字、字母、符号组合而成的八位以上的密码,是比较安全的。
二、现存密码生成器缺点
伴随着网络的迅速发展,用户需要越来越多健壮的安全的密码。开发者也根据用户的需求,开发出来很多各式各样的密码生成器。但是现在市场上存在的密码生成器都有一定的缺点,总结如下:
1.密码随机性太强
大多数的密码生成器,只能完成数字、字母、符号等的随机组合或者字符集的合并运算。但是这种随机生成的密码,用户很难记住。更无法根据不同的账户特征记住相应的密码。
2.用户不知道密码生成过程
一些密码生成器可以生成生日密码,字符密码,数字密码等。可以根据用户输入的字符集生成相应的密码,如用户输入淘宝,要求输出六位密码,输出结果为aUplDc。但是用户不知道密码是怎么生成的,这六位密码对于用户仍然是和输入字符无关联的,很难记住。
3.密码本地存储,具有安全隐患
为了方便用户记忆密码,防止忘记用户名和密码,一些密码生成器将生成的密码和对应的账号存储在本地,这些软件是通过类似记事本把账号密码意义对应,虽然通常都会设置查找密码和帐户名时的密码,但是仍然存在很大的安全隐患。一旦被黑客攻击,所有的账户和密码都会泄露。其安全隐患远大于丢失某个账户的密码,一旦丢失,损失是巨大的。
三、设计概述
密码生成器有两个版本,android版本和pc版本,帮助用户生成一个密码强度较强,易记难解的密码。
通过用户习惯分析,使用六位密码的用户是最多的,占总用户的1/3,所以我们的密码生成器的密钥是六位。用户需要记住一个长度为六位的纯数字密钥,就可以根据这个密钥针对不同的账户,生成相应的密码。
图1 密码生成器对应关系
想要记住一个无规律的密码是困难的,但是根据注册的不同账户,联想一个书名和歌名是比较容易的。如注册阿里巴巴淘宝网账户,很容易就会想到《1千零一夜》这本书。用户根据注册的不同账户,记住一本书的名字,或者将任意一本书的名字修改成用户可以记住的,如注册网易邮箱,可以将任意一本存储在本地的图书名字修改成网易邮箱或者注册的网易邮箱的帐户名。
图2 密码生成器系统
通过用户提供的六位密钥、书名和希望得到的密码长度,长度建议为八位以上,我们生成一个由数字、字母和字符组合成的密码。这样的密码的密码强度较强,又便于用户记忆。当用户输入六位密钥和书名后,我们根据用户输入的六位数,通过位置调整置换出与密码长度相同个数的六位数。置换方法是固定的,以便以后能够通过这个密钥和书名生成同一个密码。这些个数字的每前两位表示页码,中间两位表示行数,后两位表示列数,如123456表示第12页的,行数为34,列数为56的那个字符。之后读取用户输入的文件名的doc文件,接着由页数、行数和列数读取出对应的字符,把这个字符转化为UTF-8编码格式,再转化成为ASCII值为33―126里面的一个字符。 密码生成后,用户一旦忘记,只要doc文件没有被修改,用户就可以根据六位密钥,重新生成密码,而且密码生成的结果是相同的。
该款密码生成器在一定程度上弥补了现存密码生成器的缺点,解决了用户记忆和密码强度的冲突,该款密码生成器密码生成器安全性较高,通过促使密钥、生成密码的算法和doc文件名,三重密码保护机制,在一定程度上抵挡黑客的破解和攻击。
四、结论
基于古典密码学的密码生成器系统实现了生成一个密码强度相对比较强的密码,并且一定程度上解决了用户对账号密码的记忆与密码强度强弱冲突的问题。生成器可以生成任意长度的密码,且能保证密码的安全性。
随着互联网的快速发展,用户拥有越来越多的账号和密码,如何记住这些账号和密码,成为了用户的困扰。一些用户的密码是根据自己的姓名、电话等演变而来的,甚至一些用户的所有账户都使用同一个简单、容易记忆的密码,这样是非常不安全的,很容易被黑客或者恶意攻击者攻破,造成隐私泄露或者财产损失。但是一个复杂的密码不容易记忆,因此存在记忆和密码强度冲突的问题。我们的密码生成器,可以根据用户输入的密钥、doc文件名以及需要生成的密码长度,生成一个密码强度高的由数字、字母和字符组成的密码。并且,如果用户忘记密码,只要记得密钥和文件名就可以找回。
密码生成器可以方便用户的使用,满足用户的需求,解决记忆和密码强度冲突的问题,给用户提供一个安全强度较高的密码。
参考文献
[1]曹伟,张翠玲.网络应用下的密码安全问题分析[J].辽宁省交通高等专科学校学报,2014,14(2):29-31.
[2]向科.密码心理学攻击与防范分析[A].四川省通信学会2013年学术年会论文集[C].2013.
[3]李斌.密码化生存(上)――保障系统安全的几种密码设置方法[J].互联网天地,2005(3):42-43.
[4]李斌.密码化生存(下)――保障系统安全的几种密码设置方法[J].互联网天地,2005(4):42-43.
[5]何依圣.提高密码安全性的策略[J].信息安全与技术,2010(10):17-21.
[6]Douglas R.Stinson.密码学原理与实践[M].北京:电子工业出版社,2009.
[7]胡振宇,蒋建春.密码学基础与安全应用[M].北京:北京邮电大学出版社,2008.
[8]李晖.对称密码学及其应用[M].北京:北京邮电大学出版社,2009.
【摘要】随着互联网的发展,在用户享受互联网带来的方便、快捷的同时,也经常受到黑客和恶意攻击者的攻击,面临隐私泄露、财产安全的威胁。而其主要原因就是用户的账号和密码泄露或者被破解。如何设置一个容易记忆,而且安全度高的密码,成为现在用户的困扰。密码的记忆和密码强度有一定的冲突,密码强度越高,记忆越困难,密码强度过低,账户安全容易受到威胁。为了解决这个问题,我们设计了一款基于古典密码学的密码生成器。一串毫无规律的密码记忆起来是困难的,但是记忆一个根据账户联想起来的书名、歌曲名是很容易的。系统根据用户输入的六位密钥、doc文件的名字和用户希望得到的密码长度,生成一个密码安全性高,由数字、字母和字符组成的密码,以此来解决用户面临的困扰。
【关键词】密码;安全;密码生成机;古典密码学
引言
随着信息技术的普及和互联网的迅猛发展,人们拥有越来越多的账号和密码如:邮箱、银行密码、社区网络登录密码等。互联网不断的改变着人们的生活习惯和娱乐、工作方式,方便了人们的交流和信息获取。
在计算机出现以前,人们就建立了基于字符的密码体制,通过不同字符之间互相代换或者是相互之间的换位,生成不含有意义的字符串,即古典密码学。古典密码学的历史极为久远,一切现有的现代密码学的加密方法,几乎都是由古典密码学加密方法的组合而来的。我们的密码生成器也是根据古典密码学的代换技术演变而来的。
现如今用户面临着密码设置危机。本文介绍的软件是基于古典密码学的密码生成器,本文将讲述如何去设置易记难解的密码,并针对不同账号生成不同的密码。
一、危险密码形式
一些黑客基于密码心理学,对用户的密码进行猜解。黑客会基于用户的姓名特征、数字特征等特征,再借助于计算机或者人工分析并猜解用户密码。
1.姓名特征
如果黑客获得用户的姓名信息,就会根据用户的中文、全拼拼音或者英文名等特征,结合大小写变换对密码进行猜解。并且,这种被破解成功的概率特别高。
2.数字特征
黑客会试图收集用户的所有数字信息,如电话、生日的年月日组合、qq号码等信息。这些信息被单独的或数字信息的组合或与姓名组合作为黑客的样本信息。
3.弱口令特征
某些密码具有相当规律的数字或者密码组合,如123456、111111、password等。密码管理应用提供商SplashData总结出2012年度全球最差25个密码,其中这些弱口令密码都排在前列。黑客在破解密码的时候常常是从这些最为简单的密码开始试,甚至把一些最常见的密码编成了“密码词典”,借此尝试破解用户密码。
4.用户名特征
一些用户会根据自己的用户名设置密码。通常根据用户名设置的密码,都是与用户名相同,或者是用户名和某些数字的组合形式。这些密码都很容易被黑客所破解。
5.长度特征
长度特征也是密码的重要特征之一,用户为了设置简单易记的密码,经常设置密码长度为六位以下。而长度越短的密码,被破解的可能性就越大,安全性就越低。如果通过穷举法进行破解,一个长度为10位,由数字和字母组合而成的密码密码样本中的条目就需要有6210,而长度为3位的,只需要623个条目就可以了。
综上所述,没有收录于词典中的,和用户的姓名、生日、用户名无关的、由数字、字母、符号组合而成的八位以上的密码,是比较安全的。
二、现存密码生成器缺点
伴随着网络的迅速发展,用户需要越来越多健壮的安全的密码。开发者也根据用户的需求,开发出来很多各式各样的密码生成器。但是现在市场上存在的密码生成器都有一定的缺点,总结如下:
1.密码随机性太强
大多数的密码生成器,只能完成数字、字母、符号等的随机组合或者字符集的合并运算。但是这种随机生成的密码,用户很难记住。更无法根据不同的账户特征记住相应的密码。
2.用户不知道密码生成过程
一些密码生成器可以生成生日密码,字符密码,数字密码等。可以根据用户输入的字符集生成相应的密码,如用户输入淘宝,要求输出六位密码,输出结果为aUplDc。但是用户不知道密码是怎么生成的,这六位密码对于用户仍然是和输入字符无关联的,很难记住。
3.密码本地存储,具有安全隐患
为了方便用户记忆密码,防止忘记用户名和密码,一些密码生成器将生成的密码和对应的账号存储在本地,这些软件是通过类似记事本把账号密码意义对应,虽然通常都会设置查找密码和帐户名时的密码,但是仍然存在很大的安全隐患。一旦被黑客攻击,所有的账户和密码都会泄露。其安全隐患远大于丢失某个账户的密码,一旦丢失,损失是巨大的。
三、设计概述
密码生成器有两个版本,android版本和pc版本,帮助用户生成一个密码强度较强,易记难解的密码。
通过用户习惯分析,使用六位密码的用户是最多的,占总用户的1/3,所以我们的密码生成器的密钥是六位。用户需要记住一个长度为六位的纯数字密钥,就可以根据这个密钥针对不同的账户,生成相应的密码。
图1 密码生成器对应关系
想要记住一个无规律的密码是困难的,但是根据注册的不同账户,联想一个书名和歌名是比较容易的。如注册阿里巴巴淘宝网账户,很容易就会想到《1千零一夜》这本书。用户根据注册的不同账户,记住一本书的名字,或者将任意一本书的名字修改成用户可以记住的,如注册网易邮箱,可以将任意一本存储在本地的图书名字修改成网易邮箱或者注册的网易邮箱的帐户名。
图2 密码生成器系统
通过用户提供的六位密钥、书名和希望得到的密码长度,长度建议为八位以上,我们生成一个由数字、字母和字符组合成的密码。这样的密码的密码强度较强,又便于用户记忆。当用户输入六位密钥和书名后,我们根据用户输入的六位数,通过位置调整置换出与密码长度相同个数的六位数。置换方法是固定的,以便以后能够通过这个密钥和书名生成同一个密码。这些个数字的每前两位表示页码,中间两位表示行数,后两位表示列数,如123456表示第12页的,行数为34,列数为56的那个字符。之后读取用户输入的文件名的doc文件,接着由页数、行数和列数读取出对应的字符,把这个字符转化为UTF-8编码格式,再转化成为ASCII值为33―126里面的一个字符。 密码生成后,用户一旦忘记,只要doc文件没有被修改,用户就可以根据六位密钥,重新生成密码,而且密码生成的结果是相同的。
该款密码生成器在一定程度上弥补了现存密码生成器的缺点,解决了用户记忆和密码强度的冲突,该款密码生成器密码生成器安全性较高,通过促使密钥、生成密码的算法和doc文件名,三重密码保护机制,在一定程度上抵挡黑客的破解和攻击。
四、结论
基于古典密码学的密码生成器系统实现了生成一个密码强度相对比较强的密码,并且一定程度上解决了用户对账号密码的记忆与密码强度强弱冲突的问题。生成器可以生成任意长度的密码,且能保证密码的安全性。
随着互联网的快速发展,用户拥有越来越多的账号和密码,如何记住这些账号和密码,成为了用户的困扰。一些用户的密码是根据自己的姓名、电话等演变而来的,甚至一些用户的所有账户都使用同一个简单、容易记忆的密码,这样是非常不安全的,很容易被黑客或者恶意攻击者攻破,造成隐私泄露或者财产损失。但是一个复杂的密码不容易记忆,因此存在记忆和密码强度冲突的问题。我们的密码生成器,可以根据用户输入的密钥、doc文件名以及需要生成的密码长度,生成一个密码强度高的由数字、字母和字符组成的密码。并且,如果用户忘记密码,只要记得密钥和文件名就可以找回。
密码生成器可以方便用户的使用,满足用户的需求,解决记忆和密码强度冲突的问题,给用户提供一个安全强度较高的密码。
参考文献
[1]曹伟,张翠玲.网络应用下的密码安全问题分析[J].辽宁省交通高等专科学校学报,2014,14(2):29-31.
[2]向科.密码心理学攻击与防范分析[A].四川省通信学会2013年学术年会论文集[C].2013.
[3]李斌.密码化生存(上)――保障系统安全的几种密码设置方法[J].互联网天地,2005(3):42-43.
[4]李斌.密码化生存(下)――保障系统安全的几种密码设置方法[J].互联网天地,2005(4):42-43.
[5]何依圣.提高密码安全性的策略[J].信息安全与技术,2010(10):17-21.
[6]Douglas R.Stinson.密码学原理与实践[M].北京:电子工业出版社,2009.
[7]胡振宇,蒋建春.密码学基础与安全应用[M].北京:北京邮电大学出版社,2008.
[8]李晖.对称密码学及其应用[M].北京:北京邮电大学出版社,2009.