信息時(shí)代，注重信息安全的人都會(huì)從各個(gè)方面去了解如何保護(hù)自己的數(shù)據(jù)和信息安全。而在信息安全技術(shù)的發(fā)展過程中，要說什么與信息和數(shù)據(jù)安全關(guān)系最密切，最能反映這部安全史的全部，那當(dāng)然要屬密碼與加密了。

相信如今每個(gè)人每天都需要用計(jì)算機(jī)進(jìn)行辦公或者娛樂，其中一定無法避免登陸賬號(hào)以及輸入密碼這一環(huán)節(jié)。

密碼，一個(gè)語言學(xué)中的名詞，它在信息安全領(lǐng)域防護(hù)領(lǐng)域充當(dāng)了最為關(guān)鍵的角色和部分;而加密作為一個(gè)運(yùn)用密碼的深層行為和動(dòng)作，成為最貼近數(shù)據(jù)的 防護(hù)之法。要說本質(zhì)，密碼和加密本是一家，但是密碼還有它先天的職責(zé)——用戶的登陸，幾乎所有的密碼都是為某個(gè)特定用戶登陸所服務(wù)的;而加密則更純粹，它 只服務(wù)于數(shù)據(jù)，保護(hù)著數(shù)據(jù)。

時(shí)代在發(fā)展，信息科技也快速緊跟，在個(gè)人、企業(yè)甚至國家信息安全受到越來越多種類威脅的今天，去了解密碼與加密的發(fā)展史或許能讓我們找更本源、更純粹的數(shù)據(jù)安全防護(hù)之法。

全民網(wǎng)絡(luò)時(shí)代 密碼問題日益凸顯

僅僅在十年前，包括Hotmail賬戶和AIM證券賬戶在內(nèi)，用戶的密碼安全都沒有受到很好的保護(hù)。最近一段時(shí)間以來，幾乎每一家大公司的個(gè)人數(shù)據(jù)都爆出了安全危機(jī)。《紐約時(shí)報(bào)》、Facebook、Gmail等等，都曾經(jīng)遭受到過黑客的攻擊。雖然這些公司都采取了各種措施來保護(hù)這些大量的敏感數(shù)據(jù)，包括信用卡、地址、通信方式等等。但是，自從計(jì)算機(jī)密碼發(fā)明這50多年來，安全人員和開發(fā)人員一直都想徹底解決密碼安全問題，并且遏止住這有點(diǎn)一發(fā)不可收拾的勢頭。

密碼進(jìn)化史：為何安全依然距離我們很遙遠(yuǎn)

隨著操作系統(tǒng)變得更加復(fù)雜，使用范圍更加廣泛，關(guān)于密碼安全的重視程度也變得越來越高。著名黑客Robert Tappan Morris的父親、前美國國家安全局科學(xué)家Cryptographer Robert Morris開發(fā)出了一種單項(xiàng)加密函數(shù)的UNIX操作系統(tǒng)，被命名為“hashing”。而他的兒子Robert Tappan Morris，后來作為著名的黑客，發(fā)明了第一個(gè)能通過網(wǎng)絡(luò)傳播臭名昭著的蠕蟲病毒。而老Morris編寫的“hashing”系統(tǒng)并不會(huì)將實(shí)際密碼儲(chǔ)存在計(jì)算機(jī)系統(tǒng)中，這樣信息就不容易被黑客攻擊。老Morris的加密策略，似乎已經(jīng)實(shí)現(xiàn)了劍橋大學(xué)在60年代提出的發(fā)展構(gòu)想。

現(xiàn)在，就算從我們最喜歡的電視節(jié)目網(wǎng)站上，也能夠看到我們的個(gè)人資料，包括信用卡號(hào)碼以及所有受密碼保護(hù)的資料。而大公司的疏忽則一再讓悲劇發(fā)生。

首先，即使是在現(xiàn)在，仍然并不是所有網(wǎng)站都對(duì)密碼數(shù)據(jù)進(jìn)行加密，一些程序仍然用“明文標(biāo)示”的方式儲(chǔ)存秘密。而這就意味著他們現(xiàn)在的系統(tǒng)與幾十年前相比并沒有任何進(jìn)步。如果一旦被某個(gè)黑客入侵了網(wǎng)站的服務(wù)器，那么成千上萬的密碼和所有需要保護(hù)的個(gè)人數(shù)據(jù)，都在瞬間就會(huì)暴露在黑客面前。

黑客們通常根據(jù)人類的通性和習(xí)慣去猜測密碼。根據(jù)針對(duì)2013年幾次大規(guī)模的密碼泄露事件的調(diào)查報(bào)告顯示，有76%的網(wǎng)絡(luò)入侵是通過用戶賬戶的 途徑。在通常的情況下，一旦黑客獲取了某個(gè)人的一個(gè)賬戶密碼，而這個(gè)用戶的其它賬戶密碼也非常危險(xiǎn)。因?yàn)榇蠖鄶?shù)人不同的賬戶都會(huì)使用相同的密碼或一些出現(xiàn) 頻率非常高的簡單密碼(一些常用詞匯會(huì)不可避免的被當(dāng)成密碼)。而這種名為“字典攻擊”(Dictionary attacks)的方式可以通過周期性嘗試字典中的高頻詞匯，毫不費(fèi)力的破解這些簡單的密碼。

因此，大多數(shù)的網(wǎng)站都要求用戶使用更復(fù)雜的組合，并且在密碼之后還要求身份驗(yàn)證。例如，用戶最好以大小寫字母、數(shù)字和特殊符號(hào)來組成密碼，并且建議用戶針對(duì)不同的網(wǎng)站使用不同的密碼。

但是目前互聯(lián)網(wǎng)用戶平均每天要訪問25個(gè)涉及密碼登錄的網(wǎng)站，而分別記住這些至少14位的不同密碼對(duì)于普通用戶來說是一個(gè)巨大的腦力負(fù)擔(dān)。

而現(xiàn)實(shí)狀況則是，目前普通用戶的密碼不僅不安全，有些甚至一定作用都沒有，大多數(shù)用戶只是隨意敷衍的設(shè)置密碼。一位長期從事國家網(wǎng)絡(luò)身份安全戰(zhàn) 略研究的高級(jí)顧問Jeremy Grant在接受Mashable網(wǎng)站采訪時(shí)表示：“雖然12位至18位的復(fù)雜密碼具有高度的安全性，但是從可用性的角度上來說，大多數(shù)人并沒有這個(gè)耐 心。相反，他們只有一兩個(gè)簡單的密碼，并且到處使用。”

即使是最安全的密碼也很容易遭受到大量的策略性攻擊，包括暴力破解在內(nèi)。當(dāng)黑客或計(jì)算機(jī)通過惡意程序周期性的手動(dòng)將所有可能的字母、數(shù)字與字符 組合進(jìn)行組合，同樣存在破解密碼的可能性。而為了訪問私人數(shù)據(jù)和收集個(gè)人資料，黑客們還有可能冒充用戶的目標(biāo)網(wǎng)站來引誘用戶填寫自己的地址、電話號(hào)碼和賬 號(hào)密碼的敏感信息。從而更加輕松的獲取用戶的個(gè)人賬戶信息，這就是所謂的釣魚網(wǎng)站。即使是最復(fù)雜的密碼，一旦用戶在這些假網(wǎng)站中輸入一遍，都可以輕易的欺騙用戶騙到密碼。

雙重或多重認(rèn)證機(jī)制 或成密碼安全的終極形態(tài)

最近，像谷歌公司的員工都開始啟用了雙重認(rèn)證機(jī)制，增加了額外的一層密碼安全。并且要求驗(yàn)證兩個(gè)獨(dú)立的方式，通常情況下是密碼和短信驗(yàn)證碼的組合。但是，無所不能的黑客們依然可以通過諸如游戲網(wǎng)站等形式事先獲取目標(biāo)的手機(jī)號(hào)，這對(duì)于他們來說并不困難。

但是，雙重認(rèn)證機(jī)制依然可能是未來密碼安全的關(guān)鍵。目前，密碼在網(wǎng)絡(luò)安全文化中處于根深蒂固的位置，并且想要讓整整一代已經(jīng)熟悉密碼的用戶完全接受另一個(gè)全新的體系并不合理。但是多重身份驗(yàn)證，通過傳統(tǒng)的密碼疊加通過短信獲取驗(yàn)證碼或指紋密碼，是一種非常具有可行性變化的解決方案。理論上來說，一次普通的登錄需要嘗試的內(nèi)容越多，黑客獲取所有登錄成功所需要的信息的可能性就越小。而在這一點(diǎn)上山麗網(wǎng)安在其產(chǎn)品中采用的雙因子(靜態(tài)口令及動(dòng)態(tài)口令雙因子)身份認(rèn)證技術(shù)(一次性認(rèn)證原則,保證一次一密)就是以上提到的雙重認(rèn)證機(jī)制使用的典型代表。

密碼安全了 數(shù)據(jù)安全還需加密來保護(hù)

密碼的安全如果是數(shù)據(jù)安全的門把手的話，那加密技術(shù)就是這包容門把手和守衛(wèi)門后本源數(shù)據(jù)的基礎(chǔ)。面對(duì)日益多樣而復(fù)雜的安全威脅，從離數(shù)據(jù)層相對(duì) 較遠(yuǎn)的網(wǎng)絡(luò)層、服務(wù)器層進(jìn)行防護(hù)已經(jīng)遠(yuǎn)遠(yuǎn)滿足不了防護(hù)的需求了，個(gè)人、企業(yè)甚至國家正期待更本源同時(shí)更靈活的防護(hù)之法，而多模加密技術(shù)就是能符合這種需求 的安全技術(shù)。

多模加密技術(shù)采用對(duì)稱算法和非對(duì)稱算法相結(jié)合的技術(shù)，在確保了數(shù)據(jù)本源得到高質(zhì)量加密防護(hù)的同時(shí)，其多模的特性能讓用戶自主地選擇加密模式，從 而能更靈活地應(yīng)對(duì)更多重安全威脅。而這種靈活且本源的加密防護(hù)之法配合雙重或多重的密碼認(rèn)證技術(shù)，必將在今后更為復(fù)雜的國際信息安全形勢下，被應(yīng)用到更多 的領(lǐng)域中去。

如果把密碼和加密看做風(fēng)雨相伴的兩個(gè)人的話，那么他們一起走過的信息安全之路，無疑就是一部信息與數(shù)據(jù)安全的奮斗史。面對(duì)未來越來越復(fù)雜、越來越多樣的安全威脅，在用雙重密碼認(rèn)證技術(shù)保證登陸環(huán)節(jié)安全的同時(shí)，利用本源且靈活的加密軟件進(jìn)行數(shù)據(jù)本源防護(hù)無疑是最好的選擇!