4月22日，中国科学院信息工程研究所信息安全国家重点实验室研究员薛锐在首都科学讲堂上进行了题为《密码与密码学》的科普讲座。

密码和口令是一回事吗?到底什么样的密码才是安全的?密码多久更换一次合适?历史上密码曾起过怎样的作用?薛锐研究员对以上问题一一进行了解答。
 

【讲座人】

薛锐

中国科学院信息工程研究所信 息安全国家重点实验室研究员

整理/马思遥 编辑/陈永杰

现如今，人们处于信息社会的前沿，很多过去习以为常或者赖以通信的设施正在消失，比如电报、固定电话等，而手机、微信、电子商务已经成为生活的必需品。新一代科技产品如人工智能、机器人、无人机等，人类社会正在进入网络时代信息化社会。密码是网络时代守护人们信息安全的第一道安全卫士。

您使用的密码是否安全?

对于普通人而言，密码是生活中不可或缺的部分，银行卡的登录、手机的电子支付、社交网络账号的登录、网购等都离不开密码的认证。密码已经充斥了我们生活的方方面面，在日常生活中，很多时候都需要进行登录和密码验证。比如需要购买火车票，要登录12306网站，输入密码，认证之后就可以进到个人账户里面订票，而付款的时候我们又要使用支付系统，这也需要密码进行认证。这些操作实际上就是一个认证的过程，让机器认识用户，让系统识别用户。

在操作过程中输入的密码，在密码学的领域被称为口令，即password。而“密码”在密码学界和我们日常生活中的密码意义有所不同，在密码学领域，密码有的时候是密码算法，有的时候代表密钥，所以要区分口令和密码的不同。

在密码学中认证有很多方式，例如手机解锁的时候，会有一个九宫格图形，通过输入图形来解锁，这就是一种图形密码认证。此外还有生物密码认证如指纹识别、面部识别、虹膜识别、声纹认证等。随着安全等级的不断提高，还出现了复合型认证方式。根据不同的认证方式，认证识别的容易程度也不一样。

口令是最为简单的认证方式，但也容易被盗取或破译，在输入密码的时候除了自己知道，认证的机器也会知道密码，这就存在被盗取或者泄露的安全隐患。2014年12月，12306网站就有12万用户的口令遭到泄露。在口令被泄露之后，个人的姓名、生日、身份证号、手机号等重要信息就会被一些别有用心的人或机构所掌握，可能会让用户遭受诈骗或者收到骚扰电话和短信，甚至利用用户身份信息做出一些违法的事。

生物认证现在最为方便，可替换性最低，但是再生性差，如果生物特征遭到破坏，比如手指受伤，指纹留疤痕，就无法进行认证和识别了，而口令可以随时更改。生物认证中，指纹、虹膜等生物信息比较难替换，因此安全性也较高。各类认证方式各有优缺点，我们可以单独使用一种也可以进行复合型认证。

▲指纹识别等生物特征遭到破坏，比如手指受伤，指纹留疤痕，就无法进行认证和识别了

如何设置一个好的密码

在使用认证的过程中，很多人都有过忘记密码的经历。该怎样设置密码才会保证我们信息安全的同时又容易记住呢?在谈好的口令之前，先看一下什么是坏的口令。根据调查显示，中国人习惯用数字作为密码，比如用户的生日、纪念日、门牌号、手机号等，而这些信息并不属于私密信息，很容易被别人知道造成口令的泄露。

其实，在国外，同样有很多人使用简单密码，虽然他们的密码中更多地含有字母，但是都是极为简单的“abcd”或者常见单词等字母，同样很容易遭到泄露。盗取密码的人或者机构怎么猜密码呢?一般都是根据个人信息、个人标识号、身份证号码、手机号码、姓名住址、邮箱等。根据这些信息设定的口令，就是我们所谓的“坏的口令”。

这两个调查可以直观地为您揭露一个真相：大多数时候，我们对于自己的信息安全并不会像保护财产一样地提供保护。

可想而知，在数字信息爆炸的当代社会，信息安全问题已经成为威胁我们日常生活的重大隐患！

当用户的一个口令遭到泄露之后，盗取信息的人就会用该口令在这名用户的其他账号上进行尝试，被称为撞库。比如12306的密码遭到泄露之后，盗取信息的人就会用这个口令去尝试用户的淘宝账户、支付宝账户、微信账户等，如果一样的话，用户的其他平台账号也会遭到盗取。所以在设置口令的时候，避免使用能够在公共场合上获得的个人信息。

▲2014年12月，12306网站就有12万用户的口令遭到泄露

很多人为了防止被撞库，会选择不同的平台账号设置不同的密码。如果账户少尚可接受，如果多达几十个账户且全部是不同的密码，对于用户而言，可能是场“记忆灾难”。太多口令可能会混淆甚至忘记。其实在很多情况下，口令是可以重复使用的，在同一安全级别的账户中可以使用同一口令，不同安全级别的账户最好设置不同的口令。

比如淘宝账号，可能用户就是买东西，就算口令被泄露了也不会有什么影响，但是支付宝账户涉及到个人财产信息，所以这两个账号的安全级别是不一样的，最好设置两个口令，支付宝的口令要更复杂、更安全一些。此外，很多互联网界的从业人员都会建议大家经常修改密码会比较安全，其实不要特别频繁的修改口令。频繁的修改对于用户而言增加了个人口令库的量，也不方便记忆，所以口令修改频率适当即可。

好的口令是什么?好的口令的要求是：自己容易记同时别人很难猜，也就是口令的个性化。每个人都有自己的生活经历或者具体境遇，就可以用这些经历来设置口令。举例而言，猪八戒如果要设置口令可以设置为“凌霄宝殿初相遇，一见嫦娥误终生”，口令就是“lxbdcxyyjcewzs”，对于他而言这就是一个很特殊、很私密性的口令;再如贾宝玉标志性的一句话是“这个妹妹我曾见过”，那贾宝玉的口令就可以设置为“zgmmwcjg”。我们每个人可以设置特殊性、只有自己知道的口令。

密码学最基本的研究对象是加密

什么是密码学呢?密码学是研究秘密信息编码与隐写技术的一门科学，主要是防止未被授权的人获得秘密信息的科学，现在的密码学已经成为网络空间核心的支撑技术。密码学可以分为：密码编码学——将要发送的消息编译成别人无法识别的消息并传输给收件人且恢复出来，这属于防御的部分;密码分析学——破解别人的密文，这个就属于攻击部分;还有一个就是密码协议的研究，主要研究如何正确使用密码。

密码学最基本的研究对象是加密，当信息传送人需要将一条不想被别人知道的信息传送给接受者的时候，就需要对该信息进行加密。将消息变成一条无关紧要或者无法识别的信息传达出去，就是加密的传播过程。在加密的过程中，需要一个密钥，密钥就像是一把钥匙，能够把已经被加密的、被隐藏、被打乱的信息恢复成所要传达的原本信息。

密钥不仅能够解密信息，还可以加密信息，如果解密和加密都是通过一个密钥完成的，在密码学中，就称为对称加密。如果加密和解密使用的是不同的密钥，就称为非对称加密。信息通过加密后得到的就是密文，密文传输完成后通过密钥解密成为明文的过程就是密码学中的加密解密过程。通过这个过程，信息就可以在不安全的信道上进行安全的传播。

凯撒大帝是最早的“情报帝”

在很多影视作品中，我们都曾经看到过情报人员在一张纸上用某种药水写下信息，单纯的看什么都看不见，只有送到目的地之后使用特定的条件，如火烤或者涂抹液体的方式这些字才能显现，这就是隐写。

隐写在古代已经十分常用，在古希腊战争中，就出现了最早的隐写技术。当时被围困的城市选取很多奴隶，把他们的头发剃掉，然后在头皮上写下重要信息，在他们的头发长长之后，就把奴隶放出去，到达目的地之后，再把头发剃光来获得信息。

现在，隐写术已经发展成为密码学中一个独立的研究领域，叫做信息隐藏，这个领域十分活跃，主要集中在情报部门。几年前美国FBI曾经逮捕了一名俄罗斯的女士，这个女士在美国留学，然后在美国各地旅游，把自己的经历、见闻拍成照片发布到网上，实际上照片内藏有情报，通过互联网传输给俄罗斯的情报人员，最后FBI将这名间谍驱逐出境。

除了隐写术之外，编码、加密也是密码学研究的重要领域。历史上有记录最早的加密解密可以追溯到凯撒大帝时期。凯撒非常喜欢使用密文，后世的《凯撒传》详细地记录了凯撒使用的一种密文。而这种加密方法，甚至沿用到今天。

凯撒的做法是：将每个字母，用字母表中这个字母之后三位的那个字母替代。也就是字母 A用字母D替代，字母B用字母E替代。比如Abroad，凯撒在用密文写信的时候，就被替换为Deurdg。这种移动字母产生密码的方式，后来也被称为凯撒密码。

千万不要小看这个加密方式，它算是历史上最早使用加密密钥的案例了：由发件人和收件人共享加密密钥，标志着现代密码学的发端。可以说，从凯撒密码，到20世纪公共密钥被发明之前的这几千年时间里，密码学的原理都是一样的。比特币和区块链的加密方式，跟凯撒密码的原理区别，也就是多了公钥而已。

密码学提前结束二战

在近现代时期，密码学影响了世界的局势。在二次世界大战期间，德国发明了恩格玛密码机。恩格玛密码机在密码编制方面彻底碾压了人类最优秀的编码师，德军凭借其强大的密码编撰和无线电通讯能力，更快、更精准、更安全地传输战略情报，并在欧洲战场上攻城略地，呈现横扫之势。

后来英国组织了大量的科学家、语言学家针对德军的密码进行破译，其中就包括著名的计算机之父——阿兰·图灵。最终图灵成功破译了德军恩格玛密码机的编译方式，在后期反击德国的时候，尤其是潜艇战中，破译了大量的德军的密码。根据研究显示，德军密码的破译，让第二次世界大战至少提前结束了一年的时间。

▲从德国恩格玛密码机上拆下的转轴

密码发展成一门专业领域的科学有一个标志性的人物和事件。1949年，美国数学家克劳德·艾尔伍德·香农发表了一篇文章叫《保密系统的通信理论》，被认为是密码学走向科学的开端，这个事件建立了密码学的信息论。此后，1976年，IBM公司设计了一个加密标准，并在1977年成为全世界的加密标准，即DES(数据加密标准)，密码学在计算机世界和互联网技术上迅速发展壮大。

随着技术的革新，互联网的快速发展，密码学已经成为互联网技术的核心，未来不管是比特币、区块链还是量子计算，一定会对今天的信息安全系统产生颠覆性的影响。从凯撒大帝交换字母运用到军事领域;到破译德军恩格玛密码机，提早结束世界大战;再到现如今密码学成为比特币和区块链的技术支撑，密码学也将伴随人类社会的发展而飞速发展，我们期待下一个改变世界的密码学事件。■

（本文整理自4月22日首都科学讲堂，文字经薛锐审核）