怎樣才能證明我的密碼是安全的?怎麼才能說明安全?
- 從密文探測出簡單卻有用的事實應該是難的,如相同的信息被發送了兩次。
從敵手對密碼體制攻擊的效果看,敵手可能達到以下結果:- 完全攻破。敵手找到了相應的密鑰,從而可以恢復任意的密文。- 部分攻破。敵手沒有找到相應的密鑰,但對於給定的密文,敵手能夠獲得明文的特定信息。
- 密文識別。如對於兩個給定的不同的明文及其中一個明文的密文,敵手可以識別出該密文對應那個明文,或者能夠識別出給定明文的密文和隨機字元串。評價密碼體制的安全性有不同的途徑,包括無條件安全性、計算安全性、可證明安全性。###無條件安全性如果密碼分析者具有無限的計算能力,密碼體制也不能被攻破,那麼這個密碼體制就是無條件安全的。例如一次一密亂碼本(one-time pad)對於唯密文攻擊是無條件安全的,因為即使敵手獲取了很多密文信息、擁有無限的計算資源,仍然不能獲得明文的任何信息。如果一個密碼體制對於唯密文攻擊是無條件安全的,我們稱該密碼體制具有完善保密性(perfect secrecy)。
### 計算安全性密碼學更關心在計算上不可破譯的密碼系統。如果攻破一個密碼體制的最好演算法,用現在或將來可得到的資源都不能在足夠長的時間內破譯,這個密碼體制被認為在計算上是安全的。目前還沒有任何一個實際的密碼體制被證明是計算上安全的,因為我們所知道的只是攻破一個密碼體制的當前的最好演算法,也許還存在我們沒有發現的更好的攻擊演算法。實際上,密碼體制對於某一種類型的攻擊是計算上安全的,但對其他類型的攻擊可能就是計算上不安全的。### 可證明安全性另一種安全性度量是把密碼體制的安全性歸結為某個經過深入研究的數學難題。例如如果給定的密碼體制是可以破解的,那麼就可以利用破解演算法構造一種有效的方法,來解決大數的因子分解問題,而大數的因子分解問題目前不存在有效的解決方法,於是我們稱該密碼體制是可證明安全的,即可證明攻破該密碼體制比解決大數因子分解問題更難。可證明安全性只是說明密碼體制的安全與一個困難問題是相關的,並沒有證明密碼體制是安全的,可證明安全性也有時候被稱為**歸約安全性**。今年,發生了多起各大網站賬號密碼被盜事件,如前陣子的京東網站用戶數據泄露事件、雅虎等大網站被黑事件,讓不少網友都非常擔驚受怕,到底怎麼樣才能保障我們的賬戶安全呢?下面我為大家總結一下設置密碼的經驗。
哪些密碼不能設呢?一項研究表明,1%的密碼可以在4次之內猜中。如果你是password、123456、12345678和qwerty這4個密碼,那你就屬於這1%最容易被盜的人。這些密碼的通病是長度過短、形式單一缺少變化,且內容過於簡單,在設置密碼的時候要迴避這些問題,不要為了一時省事,降低了賬戶的安全係數。大多數人會以自己或著親人的各種信息為密碼,這些信息常常會處於公開狀態,非常容易被破譯和猜測到。還有一點,謹防「找回密碼」,有些人會跳過輸入密碼環節,直接去回答安全問題「找回密碼」。如果恰巧被他們「蒙」對了,後果你懂的。
如何設置才安全呢:
1.在某些網站設置密碼時,網站一般會給出密碼強度的參考。比如「弱」、「中等」、「強」等提示。為了好記,大多數人到中等就不設置了,為了安全還是盡量選擇「強」。
2.選擇較為隱私的紀念日或者辭彙進行組合。
3.為了便於記憶,盡量使用有意義的內容,但是在密碼中插入其他字元或者諧音。
4.至少包括以下字元類別中的三組:大寫字母、小寫字母、數字、非數字元號。
5.盡量使用不同的密碼。銀行卡、QQ密碼等賬號密碼別為圖簡單,一失足千古恨。
有得必有失,密碼太複雜導致的問題是記不住。有這種煩惱的人,可以使用一些密碼管理軟體,這些軟體,可以用一個密碼來對其他密碼進行加密和管理。當然重點是,這個密碼你別忘了。
以我這麼多年的經驗來看,密碼安全的首要責任不在於個人,而在於各行業的工作人員的職業操守,就算你把密碼加的超級複雜,標點符號+字母+大小寫之類的,沖其量還是治標,沒有治本,那本在哪?就在擁有各平台的數據的工作人員手中,從近兩年出現的情況來看,哪次泄露的主要原因不是在內部工作人員為之。因為這裡面的藏有巨大的經濟利益,因此還是要從內部人員的開始進行職業操守的建立這才是正道。難道指望用複雜的加密方法去教會每一個使用APP的用戶嗎?
沒出現問題就行了
推薦閱讀:
※(CVE-2017-7269)iis6遠程代碼執行漏洞
※如何追蹤勒索軟體的贖金,找到幕後首腦
※APT組織Gaza Cybergang重出江湖 深度利用了微軟漏洞
※安全治理、安全計劃和框架(Day002)
※如何針對PC端的應用軟體進行安全測試?
TAG:密碼學 | 密碼 | 網路安全 | 黑客(Hacker) | 信息安全 |