信息技术单元挑战 探究密码安全问题授课ppt课件

第三单元挑战  探究密码安全问题

■教材分析

“探究密码安全问题”这一小节，立足于从简单问题出发，研究密码安全问题，分析计算机破解密码之“谜”，让学生自己动手动脑，发现并掌握密码安全之匙。另信息安全无论对国家、集体还是个人都是十分重要的。保证个人信息安全的重要举措之一是设置安全级别高的密码。那么，怎样的密码设置才是安全的？大多数学生可能都有类似的困惑。有了算法和程序设计的基础之后，学生已具备了解决困惑需要的本领和技能，并且，这样的内容对于提升学生信息素养的重要性也是不言而喻的。

■教学目标

1、知识和技能

（1）了解密码的暴力破解——枚举法。

（2）了解枚举法实现的环境和条件。

（3）设计枚举法的算法，编程实现“三位数字密码锁”的密码破解。

2、过程与方法

从简单问题出发，研究密码安全问题，分析计算机破解密码之“谜”，让学生自己动手动脑，发现并掌握密码安全之匙。

3、情感态度与价值观

（1）体验破解密码之“谜”，产生对程序设计的求知欲，形成积极主动地学习态度；

（2）通过“探究密码安全问题”，培养他们严谨、缜密、科学的程序设计作风。

■教学重点：

掌握枚举法实现的条件，设计枚举法并实现“三位数字密码锁”的程序设计。

■教学难点：

设计枚举法并实现“三位数字密码锁”的程序设计。

■教学准备

计算机教室，Python,投影机。

■教学过程：

一、导入

    今天教师给每一位同学都带了一份礼物，就放在这个箱子里，如果你们能用今天学到的知识和自己的智慧打开这把密码锁，这里面的礼物就是你们的了。怎么样？有没有信心打开？那现在就开始我们的探索之旅密码锁的秘密。

谁来说说你在什么地方或物品上见到过密码锁？

播放一段小视频。

二、分析密码的破解原理

密码分析之所以能够成功破译密码，最根本的原因是明文中有冗余度。攻击或破译怒那的方法主要有三种：枚举法、统计分析攻击、数学分析攻击。
    所谓枚举是指，密码分析者采用依次试遍所有可能的的秘钥对所获密文进行破解，直至得到正确的明文；或者用一个确定的秘钥对所有可能的明文进行加密，直至得到所得的密文。只要有足够的时间和存储空间，枚举攻击原则上是可行的，但是集中面积算时间和存储空间都受到限制，只要秘钥足够长。这种方法往往不行。
    统计分析攻击是指密码分析者涌过分析密文和明文的统计规律来破译密码。密码分析者对截获的密文进行统计分析，总结出其间的统计规律，并与明文的统计规律进行比较，从中提取明文和密文之间的对应或变换信息。
    数学分析攻击是密码分析者针对加解密算法的数学基础和某些密码学特性，通过数学求解的方法来破译密码。

三、密码算法

密码算法是用于加密和解密的数学函数，密码算法是密码协议的基础。现行的密码算法主要包括序列密码、分组密码、公钥密码、散列函数等，用于保证信息的安全，提供鉴别、完整性、抗抵赖等服务。假设我们想通过网络发送消息P（P通常是明文数据包），使用密码算法隐藏P的内容可将P转化成密文，这个转化过程就叫做加密。与明文P相对应的密文C的得到依靠一个附加的参数K，称为密钥。密文C的接收方为恢复明文，需要另一个密钥K-1完成反方向的运算。这个反向的过程称为解密。

四、“三位数字密码锁”的程序流程图

五、python语言编写“三位数字密码锁”程序

六、个人密码安全

管理一个密码并不难，难就难在怎么管理几十个甚至几百个网络服务的密码，我们现在处于网络时代，时常要登录各种网站、论坛、邮箱、网上银行等等，这些访问常需要帐户+密码的身份认证，因此我们不断地注册用户，就有了数不清的网络帐户和密码。大多数人为了便于记忆，习惯只用一个常用的网络用户名、邮箱和密码，这是非常危险的行为，因为只要有一个网站出事泄露出来密码，那么几乎所有注册过的网站和服务都会全部沦陷。那么，网上的密码我们应该怎么设置，才能相对安全一些呢？

　　总的来说，个人密码安全需要遵循如下几个简单的要求：对于不同的网络系统使用不同的密码，对于重要的系统使用更为安全的密码。绝对不要所有系统使用同一个密码。对于那些偶尔登录的论坛，可以设置简单的密码；对于重要的信息、电子邮件、网上银行之类，必需设置为复杂的密码。永远也不要把论坛、电子邮箱和银行账户设置成同一个密码。具体的设置策略如下：

1、将自己常用的网站分类：大网站、小网站、重要网站、普通网站

　　（1）、大网站

　　大网站为可以信任的、安全的网站，例如用户为数亿的几个门户网站（腾讯、谷歌等），这类网站理论上安全性较好，常规情况下用户密码不易泄漏，并且都会提供绑定手机号功能，这类网站应该不超过十个。

　　（2）、小网站

　　大网站之外的网站都算小网站，是不可信任的网站，在上面保存的密码随时可能泄漏，并且可能是密码明文泄漏。

　　（3）、重要网站

　　涉及到网络使用的核心网站，例如主要的电子邮件、网银、网上支付、域名管理等，这类网站如果被黑客攻破，则会引起个人资产损失或者相关其他网站服务被攻击，损失巨大。

　　（4）、普通网站

　　重要网站之外的网站。

　　2、将自己的常用密码分类：弱密码、中密码、强密码

　　（1）、弱密码

　　最容易记忆的，且默认是可以丢失的密码。

　　各类中小网站、论坛、社区、个人网站等使用。

　　原因：这些网站的安全性可能都不太好，有些只是将密码MD5一下存储，有些可能还会明文存储密码。黑客很容易从这些网站盗窃用户的密码。

　　（2）、中密码

　　中等强度密码，8个字符以上，有一定抗穷举能力的。

　　中等密码主要在国内门户网站、大型网站、门户微博、社交网站等使用，但不要在主要邮箱里使用。门户网站最好绑定手机号码。

　　原因：大网站的安全性较好，通常被破解的可能性低，在大网站使用的密码要强度可以稍强。

　　需要注意的是，有些门户网站（例如新浪、搜狐等）即提供微博，又提供邮件系统，如果系统默认建立了这些邮箱，那建议不要在任何地方使用这些邮箱，如果要使用邮箱，最好确认该邮箱具有独立密码功能。

　　其中有一个例外是腾讯邮箱，腾讯邮箱支持邮箱的单独密码，设置好了以后，用户需要输入QQ密码和邮箱密码两个之后才能使用。

　　所有游戏帐号使用单独的密码。

　　（3）、强密码

　　强密码要求至少8个字符以上，不包含用户名、真实姓名或公司名称，不包含完整的单词，包含字母、数字、特殊符号在内。

　　强密码主要用于邮箱、网银、支付系统等。

　　这类网站是最核心最重要的网站，网银涉及到用户的财产安全，邮箱则可以重置用户所有注册过的网站密码，因此这类网站一定要用强密码，保证其绝对安全性。

　　密码穷举对于简单的长度较少的密码非常有效，但是如果网络用户把密码设的较长一些而且没有明显规律特征（如用一些特殊字符和数字字母组合），那么穷举破解工具的破解过程就变得非常困难，破解者往往会对长时间的穷举失去耐性。通常认为，密码长度应该大于8位，密码中最好包含字母数字和符号，不要使用纯数字的密码，不要使用常用英文单词的组合，不要使用自己的姓名做密码，不要使用生日做密码。

　　3、电子邮件使用规范

　　（1）、邮箱类型

　　个人邮箱并非越多越好，只要两个个人邮箱即可（工作邮箱除外），关闭那些没用的邮箱，或者清除其内的所有内容，不在任何地方使用这个邮箱。

　　邮箱分为两个类型，主要邮箱和次要邮箱，重要服务用主要邮箱来申请，一般服务用次要邮箱来申请。

　　主要邮箱首选谷歌Gmail，其次微软Outlook，绑定用户的手机，并设置二步验证的手机动态密码，Gmail信箱和Outlook邮箱都支持手机动态密码，增加手机动态密码之后，黑客即使重置了用户的帐号密码，依旧无法登录该帐号，除非用户手机同时也被盗。有了动态密码，一旦用户信箱被攻击，用户有足够的时间通过手机修复密码。

　　Gmail的辅助邮箱可以不使用，或者用一个可以，辅助邮箱的安全性一定要高，不容易被攻破。

　　对于Gmail的访问还有一点，就是不要用Hosts来访问Gmail，不要把accounts.google.com放入到Hosts文件中，否则将对Gmail的安全性产生极大的威胁。

　　（2）、动态密码设置

　　对于经常受到攻击的Gmail用户，强烈推荐使用Gmail的“两步验证”功能，具体方法是，先登录Gmail，然后访问这个地址，之后根据提示安装一个iPhone或Android应用，即可实现动态口令，极大增强了Gmail的安全性。

　　Gmail的“两步验证”支持iPhone和Android手机，实际上属于动态密码的一种类型。动态密码（Dynamic Password）也称一次性密码，它指用户的密码按照时间或使用次数不断动态变化，每个密码只使用一次。由于每次使用的密码必须由动态令牌来产生，而用户每次使用的密码都不相同，因此黑客很难计算出下一次出现的动态密码。不过动态密码对手机要求较高，需要iPhone或Android这样的智能手机。

　　除了Gmail邮箱之外，腾讯QQ邮箱也是国内使用较为广泛的邮箱，使用腾讯QQ邮箱时需要注意，一定要设置双密码（邮箱单独密码），如有需要则打开腾讯的QQ手机令牌，QQ手机令牌是腾讯公司的一款QQ安全软件，通过验证30秒动态密码来保护QQ帐号、Q币Q点和游戏装备等，不过目前QQ邮箱还不支持手机令牌方式登录。

　　很多人觉得动态密码不方便，不愿意使用，这是不对的。方便性固然是好的，安全性是更重要的，重视用户密码的管理，虽然增加了一点点不便，但是你可能将会因此避免极大损失。

　　（3）、邮箱密码

　　邮箱的密码绝对不要和其他任何网站的密码相同，要使用8位以上的强密码。

　　邮箱是密码管理中的核心和关键，通过邮件重置密码功能，可以获得用户大部分网站的密码，因此一旦邮箱密码被黑，会导致用户全部密码体系失控，Gmail动态密码虽然看起来麻烦一些，其实也并非每次都输入，在单台电脑可以三十天再输入一次。QQ的手机令牌也可以设置各种方法来减少输入动态密码的次数。

　　在邮箱使用过程中要注意，使用主要信箱和次要邮箱注册不同的网站，重要服务用主要邮箱来申请，一般服务用次要邮箱来申请。大网站用复杂的密码，小网站和论坛使用简单的密码。如果注册的网站被盗，需要尽快通过电子邮件进行重置密码。

　　对于那些小网站，在里面设置密码只能当没有，因为我们不知道这些网站是怎么保存密码的，其网站也随时可能被黑，因此只能保证注册邮件不被黑，可以用其重置密码。

　　（4）、“找回密码”设置

　　“找回密码”是一个关键的邮箱安全设置，很多黑客破解邮箱是通过“找回密码”进行破解的，因此如何设置“找回密码”的安全问题是一个很重要的环节。

　　什么是“找回密码”中不安全的问题，主要有“你的生日？”（你会在其他社交网站录入自己的生日）；“你的姓名？”（熟悉你的人都知道你的姓名）；“你的出生地？”（通过身份证号码可以算出你的出生地）；“你的手机号码？”（太多的地方容易泄漏你的手机号码）；等等。

　　这样，通过一些毫无技术含量的操作，别人就很可能重置你的邮箱密码。

　　所以，“找回密码”应该设置为一个只有你自己知道答案的问题，自己不会轻易告诉他人，别人通过正常方法很难知道，例如“你中学时候暗恋的人叫什么”、“你初三时的同桌叫什么”、“你小学时最好的朋友叫什么”、“你第一个初恋情人叫什么”等等，这些问题通常别人很难猜到。

　　归纳：1、核心邮箱可选用Gmail，启用其两步认证，因此密码被盗黑客也进不去，除非手机同时也被盗。2、用这个信箱注册其他网站，用不同的密码，大网站用复杂的密码，小网站和论坛使用简单的密码。3、邮箱使用单独的复杂密码，不要和其他网站密码相同。

　　4、网银使用规范

　　尽量少开通网上银行，如有必要，则开通那些口碑较好，较少发生过安全事故的网银，例如招商银行的网银。开通网银后使用数字证书，最好申请USB Key，USB Key使用了双钥加密，私钥安全地保存在Key中，在网络应用的环境下，可以更安全，弥补了动态密码锁单钥加密的一些缺陷。由于用户私钥保存在USB Key密码锁中，理论上使用任何方式都无法读取，因此保证了用户认证的安全性。除非黑客获取到用户USB Key的物理硬件，否则很难攻破用户的网银。

　　银行取款密码不要和任何其他密码相同。网上银行密码不要和取款密码相同，也不和其他网站密码相同。

　　对于支付宝来说，一定要安装数字证书，支付密码和登录密码不要一样，把支付宝帐户认定为实名，同时开通手机、邮箱绑定，如果还想更安全一点再申请个支付盾。

　　归纳：少开通网上银行，网银申请USB Key配合使用。支付密码和登录密码不同。银行、网银、主要电子邮件的密码安全最为重要，需要重点保护。网银使用单独的复杂密码，不要和邮箱及其他网站相同。

七、密码的设置

在谈论设置安全的密码体系之前，我们先归类一下那些常见的“不安全”的密码设置。

不安全的密码举例：

使用自己/亲人的姓名拼音、英文名、生日、手机号码、学号、身份证号码等 (易因个人信息泄露被猜解)。

与帐号名称/网站名称相同或仅仅加上几个简单字符 （如注册的帐号为 iplaysoft，密码设置为 iplaysoft123）。

简单的密码，如：000000、888888、123456、qwerty、aaaabbbb、abc123、abcdef

长度少于6位的短密码 (和简单密码一样，太容易被暴力破解或字典破解)。

使用简单的英文单词、纯英文、纯拼音、纯数字、顺序排列的字符、键盘连续排序的字符等。

设置一个高强度好密码的原则 (难以被猜解的密码)

1.密码长度尽量设置为8位或以上

使用英文+数字且包含英文大小写，如果网站允许，请务必尽可能加上特殊符号 (如 !@#$%^ 等)！！！

2.密码没有明显的规则和组成规律

好的密码是自己能轻易记住，但别人看起来是毫无意义的乱码 (防止被别人轻易记住)

优秀密码生成技巧：要够复杂够安全，还必须好记！还不能都一样！！

上面的几点原则已经告诉我们怎样才算是一个优秀靠谱的密码了，譬如这个：$aMYcy94gHwz!On#，它既包含了8位以上英文大小写+数字+符号，符合上面说到 “4要5不要 ” 的安全要点，没有明显的组成规律，对他人看来毫无意义，只不过是一组无厘头的奇葩字符串，而我却能「轻易看懂」并能「轻松记住」毫不费力！我是怎么做到的？下面解释一下吧。

我们都知道，大脑如果要记忆大量不同的密码肯定会鸭梨山大。但如果我们全部的密码都遵循一套 “由自己制定且只有自己知道的密码生成规则”，那么记忆起来就容易得多了。我们举个简单例子，首先选取一个用于记忆的基础密码 (称为记忆密码)，然后根据网站名称的不同，为记忆密码套用如下的规则。

我自定的密码规则：

网站名前两字母的小写与大写 + 记忆密码 + 网站名后两字母的大写与小写

譬如，我的基础记忆密码是「 Ycy94gHwz!」，亚马逊 名称为 Amazon (前两字母为 aM，后两字母为 On)，那么生成的密码就应该是「aMYcy94gHwz!On」、苹果帐号 Apple 的密码就是「aPYcy94gHwz!Le」、异次元网站 iPlaySoft.com 的密码就是「iPYcy94gHwz!Ft」以此类推……然后，我们还可以适当加一些符号来将密码包围起来，比如亚马逊最终的密码是这样： $aMYcy94gHwz!On#

不夸张地说，只要你不把这规则告诉他人，这种密码就算被有心人偷瞄几眼，基本他也不会记得住，而根据测试，暴力破解也起码要3千9百万年！想破解想偷窥？我不怕不怕啦……

当然，有人会有疑问为什么我要把这个规则设置得这么奇葩？简单点用「记忆密码+网站名缩写」不就好了吗？ 你想想看，如果某人百度账号的密码甚至为 abcd123_baidu，那么请问他的谷歌密码是多少？如果规则简单到别人一看就能猜出来，你的密码策略就没有安全可言了，不是吗？

看到这里你可能会说：道理我都懂，规则可以奇葩，但上面的记忆密码「 Ycy94gHwz!」也太难记了吧？OK，如果我告诉你这个密码是取自于「异次元就是个好网站！」的拼音头字母+数字谐音「异(Y)次(c)元(y)就(9)是(4)个(g)好(H)网(w)站(z)!」，你还觉得难记吗？

3.设定容易记忆且足够复杂的密码的方法技巧

其实，设置一个容易记忆但又足够奇葩的高强度密码并不难，你大可以找一首喜欢的歌名或像上面一样用任意一句话来构造自己的记忆密码，下面就列举一些可供你参考的密码设置技巧吧，如果你有更好的点子，不妨留言分享一下。

选取自己喜欢的某歌名、歌词、一句话的拼音或英文单词首字母组合：如歌名《Never Had A Dream Come True》可选取为「nhAdct」，「异次元值得推荐！」可选取为 「YCYzdtj!」，你还可以适当变化大小写或加入数字、符号。

八、总结

密码是个人网络信息安全的钥匙。在网络非常发达的今天，网上木马病毒横行，我们应该好好设计一下密码安全，才能保障网上银行安全、网上信息安全、网上交易安全，遵循上面介绍的个人密码安全策略，可以较为有效地提高用户个人密码的安全性，防止自己的个人信息遭受威胁和攻击。