陈伟力

（邯钢培训中心，河北 邯郸 056000）

随着个人计算机和互联网的发展，个人隐私等各种各样的个人信息越来越多的存在计算机与网络之上，而窥探他人秘密的人也应运而生，他们的目的各种各样，出于商业的竞争、好奇心的作用、自我成就感的满足、报复心理的作用等等。网络上各种入侵的方法、技术层出不穷，人们对个人隐私的保护最常用的方法就是设定密码。而针对密码破解的方法也越来越多，目前网络上流行的工具可以让一个初级的黑客也能破解一些密码。而对于更高级的密码破解，则不仅是依靠单一的软件进行，而是要用到社会工程学这一技术。本文将从利用社会工程学这一技术破解密码去分析，如何设定安全的密码来保护个人的信息。

目前，密码破解最基本的方法就是穷举法，其基本思路如下：利用计算机处理信息快的特点，将所有可能用到的密码组合进行逐一的验校，直到成功为止。理论上说，只要时间足够没有任何一个密码是安全的。但穷举法的问题在于它要逐个对有可能的组合进行验证，通常入侵者不可能将所有的密码组合验证一遍，比如aa19G8*&^这样的密码如果按照穷举破译的话以现有计算机的速度至少要5年以上，这显然是入侵者不愿意看到的。

而更有经验的入侵者会运用社会工程学原理辅助进行密码的破译。首先看一下社会工程学（Social Engineering）的定义：社会工程学是关于建立理论通过自然的、社会的和制度上的途径并特别强调根据现实的双向计划和设计经验来一步一步地解决各种社会问题。总体上说，社会工程学就是使人们顺从你的意愿、满足你的欲望的一门艺术与学问。它并不单纯是一种控制意志的途径，它不能帮助你掌握人们在非正常意识以外的行为，且学习与运用这门学问一点也不容易。

社会工程学同样也蕴涵了各种各样的灵活的构思与变化着的因素，无论何时，在需要套取到所需要的信息之前，社会工程学的实施者都必须掌握大量的相关知识基础、花时间去从事资料的收集与进行必要的如交谈性质的沟通行为。与以往的入侵行为相类似，社会工程学在实施以前都是要完成很多相关的准备工作，这些工作甚至要比其本身更为繁重。总之，社会工程学就是一种通过对受害者心理弱点、本能反应、好奇心、信任、贪婪等心理陷阱进行诸如欺骗、伤害等危害手段，取得自身利益的手法。

利用社会工程学入侵者可以有针对性的对入侵对象编辑密码字典即只将有可能的密码组合作为验证的范围，这样有的放矢的进行破译，不仅大大缩短了破译时间，也提高了入侵的准确性。当然，在入侵中，入侵者还会根据已经掌握的资料对入侵对象进行进一步的分析，主动分析入侵对象的密码设定方式，分析对方心理，从而更快的破解出密码，这便可以看作是社会工程学的简单应用。

通常分析会从以下几个方面入手：

1 名字的缩写

对中国人来说，一般都没有英文名的习惯，所以很多人用中文拼音做密码，一般人去论坛等地注册一个用户名，由于简称很容易被别人先用，所以一般用全称。这里说的是名，如果是密码，一般要倒过来考虑，先从简称再全称，理由很简单：短，输入时间快。

2 简单的数字组合

数字也是用地很多的，且根据一般人的心理用得最多的密码是：123、123456，特别是新手。一般人密码是三位或者是六位。下面一些也是常用的：1、11、111、123、168、1314、520（特殊意义的数字）。

3 生日、电话号码作为密码

由于人们怕忘记，而自己的生日或家里的电话是不会忘记的，所以就用生日、电话号码作为密码。上述的六位，所以刚刚好。在用户看来省事，比如一个人的生日是1979年1月2日，一般的习惯是：六位就是790102，四位是7912。

如果月和日是只有一位的，也就是1～9，一般人就用四位的，如：7632，而不是760302，如果日期是双位的，10～31，一般人也就用到六位而不会是五位，如：760321而不是76321。如果月是双位，一般日就是双位的，如：761203，而不是76123。总体来说，也就是月和日都是同样位数的。因为这样比较美观。也有人不用日，只用月，如：763，而对中国人来说7603用得少，因为0看起来是多余的。其实只要细心便不难发现，大多数人在设定密码时都或多或少的会有这方面的习惯。

4 常用单词或组合

用简单的单词作为自己的密码也是人们常有的一种密码设定时的行为。有两种情况：①生活中的一些单词，如：boy、apple、angle等。②与计算机相关的单词如：system、cpu、photoshop等。

5 密码组合设定

对入侵者来说，一般破解应按以下顺序来：数字→字母→特殊符号。在用户名上，对方用户名一般不用大写，用小写的较多。而密码就要考虑大小写。理论上也应该按照先小写再大写。因为用户输入大写字一般不按shift键而是按CapsLock键，所以理论上来说要大写所有字母都大写。

6 以点带面的分析思路

通常一个入侵者在收集信息时，会从侧面入手、细微入手，分析用户的信息。从一些容易获得的信息去进行深层次的分析。比如，在现在社会电子邮箱是大家联系使用较频繁的工具之一。我们看一下从电子邮箱入手的话可以知道一些什么呢？例如：通过一个最常见的邮箱地址caiyihao@163.com可以知道一些什么呢？可以看出来是对方是用拼音的用户名，所以对方应该姓蔡。cyh790101@163.com还可以知道一些什么呢？对方生日：790101。当然还可以由一个人昵称推知名或者姓，例如QQ昵称“浩”，很明显这个人的名有“浩”字，获得信息还有很多途径，用得多是搜索引擎，建议最少用两个，可以用他的名搜，也可以用他的邮箱搜，还可以用他的文章搜等等。平时应该多一些常识，例如对方QQ上写了“广东dg”，结合地理就应该知道是“广东东莞”。至于由对方聊天内容看出对方性别、大概年龄、是否在读书、是否独生子女、在家里兄弟姐妹中排老大还是最小，这些就不是本文所要涉及的。

在入侵过程中，入侵者一般会有足够的耐心去分析入侵对象的各种信息，又由于一般上网的人们通常的一个心态是，我一个普通人没有什么可保密的东西，就算邮箱被破解了，或QQ被盗了，再申请就行了，也就是这样的心理作怪，才使入侵者有机可乘，你的一个不在乎的心理可能会为以后埋下隐患。

社会工程学看似简单的欺骗而已，却又包含了复杂的心理学因素，其可怕程度要比直接的技术入侵大得多，对于技术入侵我们可以防范，但是心理漏洞谁又能时刻警惕呢？毫无疑问，社会工程学将会是未来入侵与反入侵的重要对抗领域。总之，知己知彼百战不殆，了解入侵者的方式，针对此更好的保护个人信息的安全，让网络更好的为我们服务，才能为我们营造一个良好的网络环境。