Security

上周四，我们公司举办了网络安全讲座，要求全体职工参加。我猜一定是托 WannaCry 的福，不然我们单位一定不会举行这种规模的培训。

请来的讲师是北京谷安天下的郝永清老师。我抱着试试的态度，从搜索引擎上搜了一下，还真能搜到这个人，看来还是有些水平的。

我从开始用 LastPass 后，就逐渐的把我日常使用的密码用这个软件管理了。不过用到最近，我对它感觉失望了。

失望的原因之一是这款软件太依赖于浏览器。软件本身其实只是一个浏览器的插件，负责本地数据和远程服务器上的数据沟通。我对这种方式的不满在于，它没有考虑胖客户端。今天虽然很多东西都可以再浏览器里完成，但浏览器之外的网络客户端依然保留了一些，最典型的就是各种 IM 软件了。LastPass 只在浏览器中管用，当要在客户端里使用密码的时候，就比较不方便了。当然，这是次要原因。

我们的密码学课程的作业之一就是老师给你一段字母拼成的文字，单词已经划分好了，每个字母都代表另外一个字母，让你翻译成原文。翻译的方法是通过找出一些特殊的部分，不如两个相同字母结尾的单词、单字母单词之类的，来找出更多的字母。对于这种方法的难处，我在之前的文章里有过描述。其中也说了我要写个工具来帮我干这个事情。今天用Ruby简单的写了这么一个。放在了这里。

《密码学》课上的一个内容就是“破译”密码。其实我们也不算真正的破译，只是老师选一段话，把每个字母用另外一个字母代替，让我们找出原文。比如这个：

MirandaIM是一款非常好用的即时通信工具。它界面简洁、功能强大，可以支持几乎所有的通信协议，一直令我十分满意。

不过，在使用的过程中我发现了它有一个缺陷，那就是密码保护措施很不完善。

就如前文所说的，我的QQ号无法改密码。在几乎走投无路的情况下，我用记事本打开了我的.dat文件，希望可以找到一些线索。在我搜索”password”字串时，发现它后面跟了一串奇怪的字串。不过当时我心急之下，没有多想，就放弃了。

回家后，我找出了记在纸上的密码名成功激活了QQ。当时我偶然发现MirandaIM的根菜单中有一项”数据库编辑器”，打开一看，是一个类似”注册表编辑器”的东西，里面记录了我的帐号、联系人等信息。当时我无意间搜了一下”password”，得到的又是之前的字串。刚要退出时，我突然发现，我的QQ密码是十位数字，这个字串也是十位的，会不会有什么联系？稍微一观察，我就得出了答案：原来密文就是密码明文中每一个字符在ASCII码表中的之前五个字符。例如明文是”8″，那么密文就是”2″。