随着网络的广泛运用及网络的普及化，密码保护技术日益重要，特别是对一些重要的部门或人物来说。密码心理学攻击是当今网络信息安全社会工程学中的非常典型又常见的攻击方式。而防范密码心理学攻击的关键是借助心理学的方法，分析用户设置密码的常用行为习惯和黑客的猜解依据，从而引导网络用户避免设置容易被黑客猜解出的的口令，实现密码及信息的安全使用。

1　用户对密码设置的心理难题

对于网络用户来说，需要使用密码的情况越来越多，如银行卡、社交网络登录、宽带接入、小区门禁密码等等。密码的设置和保存问题给人们带来严重的负担。因为，一方面，很多人明白口令设置得更复杂一些可以加强密码的安全性；另一方面，设置密码的应用环境越来越多，以致经常会丢失密码。用户开始走入了一种密码设置危机，许多人开始设置具有特征又便于记忆的密码。特别是对那些不善于记忆的老人、小孩和有健康问题的人来说，为了防止丢失密码，他们往往设置简单的密码。而这正是密码心理学攻击者所抓住的要害，将带来严重的安全隐患。

2　密码心理学攻击的特征分析

运用密码心理学攻击方法对密码进行猜解的基础是从心理学、社会工程学的角度，结合用户的行为习惯和敏感信息对密码进行特征分析，一般来说黑客会依照以下几种特征，再借助计算机或者直接人工分析并猜解用户密码。

(1】姓名特征

以用户的姓名中文、全部拼音字母或英文名作为特征，结合大小写字母变换情况的组合对密码进行猜解。当攻击者熟悉被攻击者姓名信息时，以该特征密码作为猜解样本，成功率非常高。

(2)数字特征

凡是与被攻击者相关的数字信息，都可能成为该类密码的特征样本，如手机号、生日的年月日数字组合、家庭住址编号或学号等，这些数字以单独序列或者组合序列的形式作为黑客猜解密码的样本。正常情况下，当黑客获知用户密码为限定位数N的数字类型密码时，每位密码的独立被猜中概率为1／10，密码整体完全被随机猜中的概率为1／(1ON)，而我们如果采用了字母和数字混合的方式构造N位密码，则它的完全被随机猜中的概率降为1／(62N)，当N>4时，两者的概率相差将非常大。尽管这个情况看似有很强的密码健壮性，但由于某个用户的某些特征数字被获悉，那么N的取值对密码样本本身的代表性变得非常强，例如密码限定条件N=6H，很可能用牛日数字特征组合推测密码，当N=I1位时，很可能从用户手机号推测出密码；N=10，用户NIKE的密码很可能为“NIKE”+“手机号”的组合。

(3)长度特征

长度也是密码样本中的一个关键特征，理解密码字典原理的人都知道密码长度很短的密码，在密码字典中的样本条目也少，相应的破解难度也更低。例如只有1位的密码是很容易被破解的，也就等于键盘上1个按键的有效输入，那么可以轻易的被任何人进行穷举。密码长度变大以后，例如一个长度为2O位的字母和数字的混合密码，其密码字典中样本条目=6220，数量级是非常大的，理论上运用计算机通过穷举方法也能够破解，但是我们一般认为像这样需要付出巨大时间代价才能破解的密码是相对安全的，破解可能性也较低。

(4)密码关联

密码关联是指相同或者相近密码在不同的密码应用场合中出现。例如，某用户深谙密码设置技巧，懂得在某个网游登录口令中没置15位字母、符号、数字无规律组合出的密码，如：07，ab4z％4xk96*1，但该密码也被他作为所有网上验证中的唯一口令，那么一旦该密码不慎被非法者获取，用户的所有其他信息应用，3UQQ、EMA1L等将都将处于危险之中。

(5)用户名特征

许多网上应用程序验证或者网络接入认证都采取了“用广J名+密码”的方式，本来是提高了密码认证的安全性，但是，为方便使用，许多用户在设置口令时，用户名和密码设置完全一样，或者其密码设置为用户名与其它弱口令的组合，这些情况都易于被黑客分析和破解，特别是一些操作系统和数据库在应用时保留了一些默认用户名，如admin、sa、root等，这些用户名要么密码为空、要么用户名与密码相同，而用此类用户验证登陆后又具备一定的操作权限，实则相当危险。

(6)有效期特征

有效期特征是所有特征中很有意思的一个，它拥有一个时问参数一～随着当前密码应用时间的增加，密码特征被猜中的概率也在增加。增加的原因可能是一个与你密切接触的某个黑客在不停地收集到关于你的更多的信息，或者一个黑客正处于破解出你密码的过程周期之中，也有可能是你的某个密码信息已经泄漏，只是对应的信息安全事故并没有马上发生。这种情况其实也很常见，假设你的QQ密码已经泄漏，但是黑客并没有在此时发现他感兴趣的信息，也许他在等待更有价值的信息出现，所以并没有急于修改用户密码，让用户感觉不到密码已经泄漏。这些情况都告诉用户，长时间不更新密码也会是相当危险的。

(7)弱口令特征

某些密码具有相当规律的字母或者数字组合，或者为某些信息技术领域熟悉的单词，我们把具有这些特征的密码看作是弱口令。比如，abc，123456，1111111l，administrator等等。这些口令具有简单的规律性和习惯性，特别容易被非法用户猜解到。

3　防范方法分析

按照以上一些密码特征分析用户所设置的密码，黑客可以很容易对某个熟悉其敏感信息和行为的被攻击者发起密码心理学攻击。从概率学上讲，密码本身的保密性是来源于其随机性，整个密码的被猜中概率(P)是多个密码特征概率的乘积，只有所有密码特征概率(Pi l i=1，2 3⋯··n)都处在一个较低的水平上时，整个密码才是安全的。可以用公式表达成：P(c)=Pl×P2×P3×⋯⋯ ×Pn，我们还可以看出，当特征数鼍增多时(即n比较大)，密码的安全性也较高。基于以上的数学思想，我们提出了防范密码心理学攻击的一些方法，其作用就是提高密码的健壮性：

（1)增加密码位数和变化形式

目前，在一些敏感信息系统里，已经提示用户将密码设置为6位至18位，甚至更高。当密码位数变长以后，上述公式中的N值变大，密码也更安全。另外，如果每一位密码的样本数变大，那么每一位的猜中概率Pi也变火，整体密码的P值也随之增大。例如，数字的样本数为1o，字母的样本数为52，键盘上符号的样本数假定为32，如果允许他们都可作为有效的密码输入，那么整体密码被猜中的概率为P(C)=P 1× P2× P 3× ⋯ ⋯ × Pn，其中Pi=l／(10+52+32)。但是如果每一位设置的都为数字，那么整体密码被猜中的概率变为P(c)=1／00N)。可见密码的化数和样本变化种类在密码安全中非常重要。

(2)避开个人信息

避免使用特征数字信息，如生日信息等，这样的密码对于⋯个了解你的黑客可以轻易推断出，例如你的生}_j为1985年，当你的密码局限于设置成6位时，黑客会设计出一个猜测模型，那就是1985XY，XY可以从O1一直递增到12，可以看出年月成了这个密码最可能设置的密码，如果黑客知道你的密码是8位的，那么这个模型将设计为1985XYAB，其中AB可以设计成每个日的表示形式，也就是说AB可以从01

31，那么这样以年月日为密码设计模型，结合你的生日情况进行猜解，黑客很容易破解密码成功。这种情况必须要避免。

(3)增加复杂性

密码中的英文最好有大小写之分，甚至全半角之分，特别是设置密码样本时尽可能不要设为前面几个样本，如设置数字时，避免设置为123，设置字母时，避免设置为ABC。因为黑客在利用密码字典或者人工穷举密码时，往往把开始的几个字符的组合放在前面进行猜解。

(4)寻找一种相对复杂的规律

虽然复杂的密码不便于记忆，但是我们可以按照某些规律来设计出便于记忆的复杂密码，如M1N918K5E0，用户NIKE以他的名字和生日再加上特殊符号的组合进行密码设置，既安全又便于记忆，这样密码的强壮性就大大提高了。如果还是觉得不安全，可以在密码中运用移位、替换等古典密码学中的方法进行设置，密码的健壮性就更高了。例如，用户NIKE借助“春眠不觉晓 这旬诗的变化来设置密码， 可以设置为：(2mN1cI5xK4jE3b)。

(5)强记复杂密码

如果用户不太习惯前面的设置方法，可以强记几个复杂的密码，用的时候把它们重新排序，例如常用密码为Ki7％f

a0Oc％，顺序组合后为Ki7％fa0Oc％，再打乱顺序就得到了新密码K％ic70％0fa，密码强度就非常高。

(6)定期检查个人电脑的安全性

上面提出的几种方法都是围绕提升密码强度来进行分析的，但是如果你的PC中了病毒或者木马，那么上面的方法都无效了，例如，键盘记录木马，可以把你电脑中的输入完全记录下来，再发到黑客指定邮箱，那么用户无论设置多么强大的密码都是徒劳的。所以用户的电脑应该定期更新杀毒软件和防火墙的病毒、木马特征库，定期扫描电脑，清理非法程序。特别是在访问互联网时，避免访问到非法网站，否则可能会浏览到挂马网站或者含有恶意插件的网站，导致个人信息的丢失。

(7)定期更改密码

例如，将每个月的最后一个星期六作为密码更新日，那么用户的密码安全性将进一步得到提升。

（8)避免同一密码重复使用

不要把同一个密码在所有的信息应用产品中使用，至少应该将该密码做一些变化，以此来避免关联密码的情况产生。

(9)避免个人信息泄露

最简单的信息非法获取方法就是运用社会工程学，用户应该避免将密码写在废纸上、墙壁上或者存放在电脑中，因为当这些载体被非法用户很容易地获得时，该密码就完全暴露了，例如，你收到快递物品后的快递袋封面也不应该随意扔掉，因为那会使得你的电话号码、家庭住址和姓名很容易的公开，黑客如果此时已经在关注你的信息，想要猜解你的口令，那么这些信息将是他很好的猜解依据。从另一个方面来讲，该行为可能还会带来其他犯罪事件发生。

4　结束语

随着信息技术的发展，密码的应用变得相当广泛，黑客习惯运用心理学分析被攻击者的个人信息和习惯特点，按照某些特征规律对用户密码进行猜解。应对黑客发起的密码心理学攻击，用户应该通过一系列的手段加强密码的强度和保护好个人信息。本文给出了部分保护密码技术手段，在以后的信息化应用中，用户应该继续加强密码防护意识，设置具备健壮性的密码，提升信息的安全性。