生活中我們經(jīng)常要用到密碼，尤其是在這個信息爆炸的時代，例如銀行卡的密碼由六位數(shù)字組成，支付寶的密碼也是由若干字符組成，然而這些所謂的密碼是否就是真正的密碼呢？或者說它們的本質宄竟是什么？其實這些數(shù)字和字母符號等只是作為個人取款的一個憑證，它本質上是一種身份驗證機制，只有你輸對了密碼才能取錢，輸錯了就不能取錢，對錯僅僅是這一串字符的差別，所以，它們并不是真正意義的密碼，嚴格的叫法應該叫做口令，對應的英文單詞為Password 、Passcode 和Pin 等。

1、什么是口令：

所謂口令，就是一些過關的證據(jù)，由它來決定個人能否通過某個檢測，例如過去抗戰(zhàn)時期的暗語和暗號等等。口令并不真正具有機密性，除了你之外，銀行本身也知道你卡的密碼。還有就是，口令是可以在不知道口令的情況下繞過的，比如某個黑客或者電腦高手可以侵入

一個企業(yè)的內部，獲取一些有價值有機密的信息等，理論上是完全可行的；或者我們可以把口令比作一把寶庫的鑰匙，只有拿到了鑰匙，你才能打開寶庫的門，然而就算我們沒有鑰匙，我們也能夠利用工具把門撬開或切開，也照樣能拿到里面的珠寶。現(xiàn)在看來，口令其實只是通往目的地的一道門。

2、什么是密碼：

現(xiàn)在來說一下密碼。密碼究竟是什么呢？密碼對應的英文為cryptography，意思是一種復雜而又龐大的信息處理系統(tǒng)。通俗地講，密碼就是傳遞信息的方法。

3、讓我們舉一些簡單的例子來說明什么是密碼和口令，首先看下面這些密碼：

1)Wmdows 系統(tǒng)登錄密碼，

2)WinRAR 壓縮密碼，

3)路由器管理登錄密碼，

4)無線網(wǎng)絡密碼，

5)word 文檔打開權限密碼，

6)網(wǎng)站郵箱密碼，

7)QQ 密碼。

對于以上這些密碼，哪些是密碼(cryptography) ？哪些是口令(password) ？正確答案為：1367 是口令，245是密碼。

首先看Windows登錄密碼，它是一種進入系統(tǒng)的驗證方式，它雖然是經(jīng)過加密存放的，但是卻受win系統(tǒng)登錄進程的控制，當你輸入密碼時，lsass 和winlogon進程會負責將你輸入的密碼和解密后的原系統(tǒng)密碼作對比，如果相同則允許進入系統(tǒng)，否則便不允許進入系統(tǒng)。在這個環(huán)節(jié)，系統(tǒng)進程是知道用戶所設的密碼的，它知道如何加密以及如何解密或還原。同樣的，這個密碼也是可以繞過的，比如用U盤進入PE 系統(tǒng)，在另一個操作系統(tǒng)下來清除原系統(tǒng)的密碼文件的數(shù)據(jù)。所以，Windows 系統(tǒng)登錄密碼其實是口令。

再看RAR 密碼，當你要解壓一個帶有密碼的RAR 或ZIP 文件時，winRAR會提示你輸入密碼，這時如果你輸入了一個錯誤的密碼，RAR 接下來會做些什么呢？它會不會判斷你輸入的密碼是正確的還是錯誤的呢？答案是不會，因為WinRAR根本不知道你輸入的密碼的正確的還是錯誤的，因為世界上除了設置密碼的人之外，理論上沒有任何人知道此文件的密碼。RAR收到密碼以后根本不管它，它會一如繼往地解壓，直到解壓后還原了明文，它才開始檢驗明文的CRC32 ，如果和解壓前WinRAR 所保存的原文件的CRC 不同，說明有可能是密碼錯誤引起的，這時它會提示一個校驗失敗，文件損壞或密碼錯誤的消息，因為解壓失敗不一定是密碼錯誤導致的，也有可能是數(shù)據(jù)本身不完整或丟失部分內容導致的。這么說來， 就算你采用了跟蹤的方法繞過了RAR的密碼驗證機制，比如將不相等跳轉指令改為相等跳轉指令，欺騙W1flRAR讓它認為你輸入的密碼是正確的，這樣的結果不過是WinRAR 不再提示密碼錯誤的消息，然而解壓出來的數(shù)據(jù)己經(jīng)完全不是原來的數(shù)據(jù)，而是一堆垃圾字符，文件里是沒有任何有意義的信息的。WinRAR的密碼相當于一種編碼方式，它將原文按照某種方式編碼，這種方式由算法和密碼共同決定，從而轉換成一種人們看不懂的沒有意義的信息，所以你密碼輸錯的話，還原的方式就會是錯的，自然還原的數(shù)據(jù)就必錯無疑了。

由此，我們對接下來的密碼應該就清晰可見了，例如路由器登錄密碼，密碼輸錯它就會提示錯誤，這是口令的特征，口令輸錯一般都會提示，而密碼一般不提示，當然也不絕對，

例如前面的w i nRAR 就會提示，或者我自己設計的密碼鑰匙工具(KeyManager) ，密碼輸錯同樣會提示，這并不代表它是口令，之所以提示是因為還原后的明文的單向散列值和原明文的散列值不一致，所以才會提示密碼錯誤，事實上不一定是密碼錯誤，也可能是文件損壞，而且密碼鑰匙這個工具用的加密方法是所謂的一次性密碼本技術，理論上永遠無法破解， 因為即使有人聲稱破解了該文件，但是他怎么知道他破解出來的就是最初的數(shù)據(jù)呢？或者是完全錯亂的數(shù)據(jù)？他永遠不知道他破解成功了還是破解失敗了？這是個悖論。一次性密碼技術使用的方法是xor（ 異或）運算，原理很簡單，卻永遠不能被破解，不過由于該方法安全性雖強但不靈活，所以沒有被廣泛使用

而無線網(wǎng)密碼和路由器登錄密碼完全不同，你在輸無線網(wǎng)密碼時即使輸錯了也照樣能聯(lián)上路由器，但是卻上不了網(wǎng)。因為無線網(wǎng)加密的是信號，無論你輸對輸錯它都還原，只不過倘若你輸錯了它就無法還原到真實的網(wǎng)絡數(shù)據(jù)，所以你聯(lián)接的其實是一條死胡同。

0ffice 密碼我們遇到的比較多，網(wǎng)有有一些移除office密碼的軟件，幾秒鐘快速去除密碼，試了下還真可以，這是什么原理呢？其實移除這個詞用得不確切，應該用破解這個詞更加貼切，word 默認加密方式的密碼范圍是256^5 ，也就是5個字節(jié)。有人將5個字節(jié)的數(shù)據(jù)全部遍歷，生成共幾個TB 大小的文件，放在服務器上，然后破解時程序先從本地獲取doc或x 這等文件的幾個字節(jié)數(shù)據(jù)，然后發(fā)送到服務器上查找密鑰，找到后返回用該密鑰解開文件。

注意這個找到的密鑰并非一定是文件原來的密碼，然而它同樣可以打開加密的文件，因為密碼有可能是重復的，兩個密碼可能指向同一個密鑰。無論你密碼設置得再長，密碼的密鑰總會在256^5中找出來。最后兩個郵箱密碼和QQ 密碼就不用多說了，它們都是口令。

4、總結密碼和口令的區(qū)別

1)口令其實只是通往目的地的一道門，但密碼并不是一扇門，而是珠寶本身，只有當密碼正確時，珠寶才是珠寶，密碼錯誤的話，珠寶便不是珠寶，而是破銅爛鐵。

2)口令可以移去，而密碼只能暴力破解，暴力破解需要的是時間，理論上任何密碼總有一天會被破解，除了一次性密碼本之外。

3)口令輸錯一般都會提示，這是口令的特征，而密碼一般不提示，當然也不絕對（前面有講到）。