解密兰飞密码助手之设计理念

　　 
    密码，现代文明显著性标志，是现代都市人记忆中不可或缺的元素，是每个人的绝对隐私。它无形无色，却无所不在；它本身毫无价值，却可能守护着巨额财富；它和主人厮守一生，却逃不脱被殉葬的命运。

忘记了密码，可能让你处处碰壁，成了不受欢迎的人；丢失了密码，可能让你倾家荡产，债务缠身。密码对于现代人的生活无比的重要，关注密码安全，已经逐渐成为人们热门话题。

    一、威胁密码安全的三大要素

    关注密码安全，首先要清楚那些因素导致了密码安全的问题的产生。经过仔细分析，兰飞得出如下三大威胁密码安全因素:

    第一类威胁出自人的自身忘性。忘记个密码是最平常不过的事，这也是人脑不如电脑的一个方面。容易忘事给我们的生活平添了许多麻烦和危机。尽管银行经常提醒大家不要把密码设置成自己的生日，不要设置成自家的电话号码，可是大家却也不敢轻易设定一个比较新奇的密码，原因很简单，我们很难长期记住那些和自身毫无关联、又毫无规律可言的数字组合。如此一来，这些机构好心的提醒和忠告，自然成了啰嗦。

    第二类威胁来自木马。密码往往是财富的守护神，因此盗取密码成了非法获取财富一个便利通道。随着人们生活越来越和网络紧密相连，盗取密码的木马也应运而生。木马是现实世界中的小偷在网络虚拟世界中的嫡系亲属，所不同的是，现实中的小偷往往受教育水平比较低，而木马的缔造者却一定是受过良好的教育，清一色孔夫子的徒孙。

    破解是第三大威胁。如果说木马是网络世界中的小偷，那么密码破解就是属于强盗了。密码破解方法很多，其中最常用最简单的就是暴力破解，它充分利用了人的记忆性缺陷，即人脑所能记住的密码往往不会太长而且有规律。现在很多网站登录时不仅要求用户提供用户名和密码，还要输入一个图片验证码，就是为了防止暴力破解。但是也不是所有应用采用或适合采用这种技术。

    二、密码助手的应对策略

    在弄清了威胁密码各大要素后，兰飞有针对性地提出了保护密码安全的三大策略：

    1.解决密码遗忘最佳策略自然是在不减低密码强度的前提下使用方便记忆的密码。兰飞密码助手的提供解决方案是使用汉字密码。我们都知道，现在所有应用系统的密码都要求是英文字符组合，而我们最熟悉的汉字却不能作为密码。而我们这些从小接受方块字教育的人并不习惯记忆这些字母数字组合。引入汉字密码可以大大加强密码的形象性和生动性，使得密码不再拘泥于冰冰冷冷的字母和数字组合，从而丰富了可用的密码空间，提高了密码的可记性。当然这种方便的可记性不应是以牺牲密码的强度为代价的。密码助手采用的密码本技术可以让汉字密码既方便记忆又安全可靠。即使把密码设置成一个汉字比如"我"，也不会影响密码的强度。

    2.木马的威胁主要来自于密码的输入过程。因此加强密码输入过程防范是消除木马盗取密码的有效方式。使用密码助手输入密码可以让那些没有采用密码输入保护措施的应用软件自动拥有了密码输入保护的能力。密码助手提供两种输入密码方式。第一种是使用模拟键盘代替键盘输入密码。按照刑侦专家的观点，不为犯罪分子营造犯罪环境是最有效防止犯罪的手段。很多木马都是通过监视键盘按键来获取用户输入的密码，采用模拟键盘输入可以有效避免这类情况的发生。第二种方式是采用更安全的密码本技术，让输入密码完全不等同于实际密码，这样就可以大大方方地用键盘输入密码，即便被木马盗取了输入密码也是无碍的。这是典型的明修栈道，暗渡陈仓的防盗策略。

    3.加强密码的强度是最有效防止密码被暴力破解的手段。密码强度主要体现在两个方面:密码的长度和密码的组成结构。密码的长度越长，密码的组成越无规律可循，被破解的风险也就越低。一般超过12位的密码就超出暴力破解的能力极限。利用密码助手的密码本技术很轻松地产生12位以上让人看了都反胃的密码。最关键的是用户无需去记忆这些毫无规律的密码，只需要维护一个个人密码本并记住简单的多的输入密码，比如"我爱你"。

    三、密码助手的核心概念

    可能有不少人看过《达芬奇的密码》这本书，馆长在临死前在地板上留下了一串密码，而必须借助于达芬奇的名画《蒙娜丽莎》才能最终破译其中所包含的秘密。这里的达芬奇的名画《蒙娜丽莎》就是所谓的密码本。一次性密码本曾被间谍广泛运用来传递情报。比如一个间谍获取一条有价值情报，他对这个条情报进行加密并传递出去，根据事先约定，这个间谍会在第二天的晚报上刊登一条消息，情报接收者必须使用晚报上刊登那条消息进行译码才能最终得到实际情报信息。此处的"晚报上刊登那条消息"也是密码本。

    密码助手的密码本机制就是上述的原理的一种实现，是这个软件工具的精髓所在。尽管密码本概念一点不新鲜，但如此运用是一大创新。用户可以使用任何一本书的某个章节或者某天的某条新闻报道内容作为自己的个人密码本。每位用户最多允许拥有6个个人密码本。密码本是不能公开的，就像那位间谍不会在自己刊登的消息上加上一条说明:这是我的密码本。但是因为有无数的书籍加上每天有那么多文字内容迥异的新闻报道，所以密码本的选择空间实在太大，猜想别人的密码本只能是现代版的"愚公移山"。

    与密码本相关联的两个概念就是输入密码和实际密码。顾名思意，输入密码就是用户利用键盘输入的密码，比如汉字密码，而实际密码就是输入密码经过密码本变换后最终填入密码输入框的密码。用数学语言表述三者关系就是f(x)=y，此处f是密码本，x是输入密码，y是实际密码。当然f并不是一个简单的变换，即使知道密码本，也无法使用手工的方法从x推导出y。

    四、密码助手主要特色

    密码助手除了上述谈及密码本、模拟键盘密码录入、汉字密码录入等特点外还具备以下特点:

    1.密码助手界面新颖小巧，在需要时用热键调出，使用完后隐藏，不占用桌面空间，而半透明的界面风格很容易和目标系统融为一体。一下是利用密码助手在sina邮箱上输入密码的界面。



    2.密码助手采用完全标准的技术实现与目标应用系统的无缝连接，而不会影响目标应用系统的正常运行。目前密码助手可以在IE浏览器显示的网页或各类符合Windows规范的应用程序上安全地输入密码。

    3.密码助手提供了密码缓冲机制，自动记录输入的密码，以便再次输入时只要一个按键就可以完成输入，不仅节约了时间，也减少被木马盗取的风险。被缓冲密码数据被严格加密，并被限定在当前电脑才能使用。密码缓冲功能是可选功能，不喜欢可以选择关闭。

    4.密码助手提供了对帐号和密码本等敏感数据进行备份和复原机制，以确保数据被意外破坏后能最大程度地恢复。

    5.密码助手充分考虑用户可能在多台电脑上办公的情况，设计了一套可以方便安全地在多台电脑上使用同一个账号数据的机制。

    6.密码助手不包括任何通讯模块，有利于消除用户担心密码助手的作者盗取密码的疑虑。

     五、密码助手的应用

    密码助手可以用于在各类网站如论坛、邮箱、博客和各类应用程序如MSN、QQ等上安全快捷地录入登录密码。使用密码助手可以收到以下的效果：

     1.安全

    使用密码助手录入密码有助于防范密码被盗，尤其一些在网吧上网的网友更需要利用这样一款软件，加强自身的密码安全。

    2.便捷

    使用密码助手可以避免每次登录系统都要进行一次密码录入，实现一键快速登录系统，大大节省了时间和精力。

    3.可管理

    假如你有许多账号，但又不想把这些账号的密码设置成同一个密码，那么记住如此众多的密码就是一件很费心的事情。而利用密码助手可以很方便的做到众多密码的管理。比如你有10个论坛的账号，可以利用汉字密码原理把各个论坛的输入密码都设置为各个论坛的名称,如此只要牢记这个原则而就不必劳心记忆各个密码。并且只要更改密码本而不修改输入密码本身，就可以达到统一修改密码目的。

    总之，兰飞密码助手不是简单意义上密码管理和密码输入软件，它以独特的逻辑思维运作模式来保护个人密码安全，是畅游网络世界的得力助手。配备一款密码助手就好比聘请了一位如影随行的机要秘书，让我们轻松生活每一天。

原文转自：http://www.ltesting.net