问题

《密码法》于 2020 年 1 月 1 日正式实施,会对我们的生活产生哪些影响?会解决密码泄露问题吗?

回答
2020年1月1日,《密码法》正式开始施行,这标志着我国的密码管理进入了一个全新的、更加规范的时代。这部法律的颁布和实施,对我们每个人的生活都将产生深远的影响,并且在解决密码泄露这个日益严峻的问题上,它将扮演至关重要的角色,尽管它不是包治百病的灵丹妙药。

《密码法》对我们生活的影响,可以从多个层面来理解:

首先,安全感与信任感的提升。想象一下,我们每天都在进行各种信息交换:网上购物、社交媒体聊天、远程办公、电子政务等等。这些活动都依赖于密码技术来确保信息的机密性、完整性和真实性。过去,虽然也有密码管理的相关规定,但《密码法》的实施,意味着国家层面对密码的保护上升到了法律的高度。这意味着:

关键信息基础设施的安全得到更强有力的保障。对于银行系统、交通控制系统、电力供应系统等事关国计民生的重要领域,密码法规定了更加严格的安全要求和监管措施。这意味着这些关键系统的密码信息会受到更严密的保护,黑客攻击或内部泄露的风险会大大降低。这样,我们使用这些服务时,就能更加安心。
个人信息的安全边界更加清晰。法律明确了哪些信息属于核心密码、商用密码,以及它们的使用和管理原则。对于我们普通人来说,这意味着我们提交给各种机构的个人信息,其背后的密码保护会更加到位。例如,银行账户的密码、支付工具的密码、甚至我们手机的锁屏密码,其安全保障都会有法律依据。
电子商务和在线服务的可靠性增强。当你在线支付时,你希望交易是安全的;当你登录社交账号时,你希望你的聊天记录不被窃取。《密码法》的出台,就是在为这些在线活动“上保险”。它会推动企业加强密码技术的研发和应用,提高服务本身的安全性,从而让我们在享受数字化便利的同时,也感受到一份可靠的保障。

其次,规范与责任的明确。法律的生命力在于执行,而执行的前提是规范和责任的明确。

对政府部门和企事业单位的要求更高。法律对不同层级的密码(核心密码、重要密码、通用密码)有不同的管理要求,明确了各级单位在密码管理中的职责。这意味着,政府部门和企业在处理涉及国家安全、国计民生的信息时,必须按照法律规定使用和管理密码,不能“想怎么用就怎么用”。违规的,将面临法律的制裁。
对密码从业人员的素质提出更高要求。涉及密码的研究、开发、使用、服务等环节,都可能需要具备相应的资质和能力。这有助于提高密码行业的整体专业水平,减少因技术能力不足或操作不当导致的密码安全问题。
推动密码技术和产业的发展。法律的实施,也为我国密码技术和产业的发展提供了明确的导向和支持。鼓励自主创新,推广安全可靠的密码技术,这将有助于打破国外技术垄断,提升我国在网络安全领域的核心竞争力。

第三,身份认证的便利与安全并重。未来,我们可能会看到更多基于安全可靠密码技术的身份认证方式。

更便捷的身份验证。随着商用密码的普及和应用,一些场景下,我们可能会使用更安全、更便捷的密码技术进行身份验证,例如生物识别与密码相结合,或者使用数字证书等。
法律对加密通信的保障。法律规定了对依法开展的涉及国家秘密、商业秘密和个人隐私的密码通信的保护。这意味着,我们通过加密通信方式传递的信息,受到法律的保护,不应被非法窃取或泄露。

那么,《密码法》能否解决密码泄露问题呢?

答案是:《密码法》是解决密码泄露问题的重要基石和强有力的法律武器,但它本身并不能“一劳永逸”地彻底解决所有密码泄露问题。

我们可以这样理解:

《密码法》提供了法律框架和保障。《密码法》明确了密码工作的原则、管理机构、各类密码的法律地位、使用要求、保护措施以及法律责任。这意味着,如果发生密码泄露事件,可以依据法律追究相关责任,这将极大地提高违法成本,形成强大的震慑。
它规范了密码的使用和管理。法律要求对密码进行分级分类管理,并规定了相应的安全措施。例如,核心密码必须由国家严格管控,商用密码也要遵循安全标准。这就像给信息“上锁”有明确的“门禁卡”和“钥匙管理规定”,能够从源头上减少不当操作带来的泄露风险。
它推动了密码技术的进步和应用。法律鼓励自主创新和应用安全可靠的密码技术。这意味着,我们会看到更多先进的加密算法、更安全的密钥管理系统等被推广和应用,从技术层面提高密码的安全性。
它明确了各方责任。无论是政府部门、企事业单位还是个人,在密码安全方面都有各自的责任。这种责任的明确,有助于形成全社会共同参与的密码安全防护体系。

但是,为什么说它不是“万能药”呢?

技术漏洞是客观存在的。即使有再完善的法律,密码技术本身也可能存在尚未被发现的漏洞。黑客攻击手段也在不断演进,总会有新的技术挑战出现。
人为因素难以完全杜绝。密码泄露往往与人的疏忽、贪小便宜(如不设置复杂密码、使用弱密码、在不明来源网站输入密码)、甚至恶意行为有关。《密码法》可以规范和约束,但无法完全改变每个人的行为习惯。例如,员工出于个人目的泄露密码,或者用户为了方便而选择过于简单的密码,这些都很难通过法律强制执行。
执行力度是关键。法律的效力最终体现在执行层面。如果法律的执行不到位,监管不力,那么法律的作用就会大打折扣。
密码泄露的来源多样。除了技术和人为因素,一些泄露可能来源于供应链攻击、第三方服务商的薄弱环节等,《密码法》虽然会要求加强供应链安全,但外部环境的变化依然会带来风险。

总而言之,《密码法》的实施,无疑是我国密码安全领域的一项重大进步。它为密码管理提供了坚实的法律保障,提高了社会各界对密码安全的重视程度,并推动了相关技术的进步。

它会在很大程度上降低密码泄露的风险,遏制非法获取和使用密码的行为,并在发生泄露事件时,为追责和修复提供法律依据。然而,密码安全是一个持续博弈、不断进步的领域。《密码法》为我们筑起了一道坚实的法律屏障,但我们每个人仍需提高自身的安全意识,妥善保管好自己的密码,共同守护网络世界的安全。它就像交通法规,能大大降低交通事故的发生率,但并不能完全杜绝事故,因为最终驾驶者和道路环境仍然是关键。

网友意见

user avatar

谢邀。

《中华人民共和国密码法》对不同领域相关人士的作用和影响都不太相同。为此,我分几个层次来尝试解读《中华人民共和国密码法》。我只是密码学技术的从业人员,而不是法务合规的从业人员,相关的解读偏向于技术层面而非法律层面。有关法律层面的解读,还希望有从事相关法律领域的知友们前来解答。

可从国家密码管理局网站阅读《中华人民共和国密码法》(以下简称《密码法》)。

针对问题的几句话总结

2020年01月01日实施的《密码法》主要是从密码定义、密码管理、密码使用等方面进行了规定。《密码法》对我们生活的影响主要隐藏在了背后:日常生活中使用的密码服务具有了法律基础

对于“密码泄露问题”这个具体问题,《密码法》不能从技术上解决密码泄露问题,但《密码法》能从法律层面说明“窃取他人加密保护的信息”是违法行为,明令禁止从事密码违法犯罪活动。

(《密码法》第十二条)
任何组织或者个人不得窃取他人加密保护的信息或者非法入侵他人的密码保障系统。
任何组织或者个人不得利用密码从事危害国家安全、社会公共利益、他人合法权益等违法犯罪活动。

这使得“密码泄露问题”的解决变得有法可依。

一张图总结

2019年10月26日,十三届全国人大常委会第十四次会议表决通过《密码法》之后,新华社新闻《我国制定密码法全面提升密码工作法治化水平》中的一张图非常清晰的解读了《密码法》的核心作用、核心规定。

一个视频总结

2019年12月30日晚,《焦点访谈》播出密码法专题节目——《守护安全,密码在你身边》。此节目准确、清晰地对《密码法》进行了解读。

本来想把视频上传到知乎上,但是似乎不允许上传,因此感兴趣的知友们还是请通过链接观看视频吧。

略微详细的解释

《密码法》得到通过后,微信公众号等渠道发布了很多关于《密码法》的解读。在众多的解读中,我个人认为某位同事推荐给我的“TMT法律论坛”于2019年11月04日发布的文章《<密码法>的“放管”之道》解读的比较清晰。当然了,通过参与并聆听相应的学术论坛,我们也可以更加详细的学习《密码法》,对《密码法》进行更深入的了解。

下面的内容主要结合了《<密码法>的“放管”之道》与西安交通大学苏州信息安全法律研究中心主任马民虎教授在“第十届中国信息安全法律大会”上《智慧时代密码法的任务、原则和主要内容》的讲座内容。

正如前文所描述,马民虎教授指出,《密码法》主要解决了以下四个问题:

  1. 什么是密码:采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。
  2. 谁来管密码:中国共产党、国家密码管理部门。
  3. 怎么管密码:各种各样的管理制度。
  4. 怎么用密码:在不同场景下需要使用不同等级的密码。

以下分别对这4个问题进行简单的讨论。

1、什么是密码:密码的定义

(《密码法》第二条)
本法所称密码,是指采用特定变换的方法对信息等进行加密保护、安全认证的技术、产品和服务。

一提到“密码”,大多数知友想到的可能就是登录微信、QQ、邮箱等的“密码”。这些的确是日常生活中经常接触到的“密码”,但这些“密码”只是进入个人设备或软件的“口令”(Password),是一种身份认证手段。实际上,“密码”(Cryptography)指的是能对信息进行加密保护和安全认证的技术、产品和服务,而且必须采用特定变换的方法来实现。不过,“口令”的认证和管理过程一般涉及到哈希(Hash)、加密(Encryption)等密码学技术,因此“口令”的认证、使用和管理等技术与服务属于《密码法》中的密码。

这里有一个非常有趣的问题:人脸识别、虹膜识别等生物识别信息算是“密码”吗?目前的观点认为,虽然生物识别信息可以实现安全认证,但生物识别信息没有使用“特定变换的方法”,因此不属于“密码”。不过不用担心,虽然生物识别信息本身不属于密码,但是使用、管理生物识别信息需要密码技术,因此生物识别信息和《密码法》仍然有很强的关联性。

注意,生物识别信息还是需要所谓的编码等技术将信息转换成数据的,这种变换过程不属于“特定变换的方法”。

对于“什么是密码”,人们的认识也是逐渐深入的。在1999年10月07日生效的《商用密码管理条例》中给出了商用密码的定义:

商用密码,对不涉及国家秘密内容的信息进行加密服务或者安全认证所使用的密码技术和密码产品。

对比两个定义后会发现,《密码法》在此定义的基础上新增了“服务”这一概念。

1、什么是密码:密码的分类

(《密码法》第六条)
国家对密码进行分类管理。
密码分为核心密码、普通密码和商用密码。
(《密码法》第七条)
核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。
核心密码、普通密码属于国家秘密。密码管理部门依照本法和有关法律、行政法规、国家有关规定对核心密码、普通密码实行严格统一管理。
(《密码法》第八条)
商用密码用于保护不属于国家秘密的信息。
公民、法人和其他组织可以依法适用商用密码保护网络与信息安全。

如果了解过国家秘密分级的相应知识,会知道国家秘密分为三个等级:绝密、机密、秘密,在标注级别后还要在后面标注密级时间。例如,部分年份的高考试卷上会标识“绝密,启用前”,意味着高考试卷在考试开始之前都是绝密级信息。

当然,还有的高考试卷上标识的内容是“绝密,启用前,解密时间:XXXX年X月X日XX:XX”。这里有意思的内容是,如果打击了一个高考作弊团伙,则此团伙在解密时间之前看到并提前泄露了国家绝密信息,因此又会多了一项罪名…

《密码法》规定:核心密码、普通密码用于保护国家秘密信息,核心密码保护信息的最高密级为绝密级,普通密码保护信息的最高密级为机密级。这就明确了何种国家秘密应该用何种级别的密码进行保护。同时,《密码法》规定公民、法人和其他组织可以合法使用商用密码。这无疑为商用密码,特别是国家商用密码的推广和使用建立法律基础。

2、谁来管密码:中国共产党、国家密码管理部门

(《密码法》第四条)
坚持中国共产党对密码工作的领导。中央密码工作领导机构对全国密码工作实行统一领导,制定国家密码工作重大方针政策,统筹协调国家密码重大事项和重要工作,推进国家密码法治建设。
(《密码法》第五条)
国家密码管理部门负责管理全国的密码工作。县级以上地方各级密码管理部门负责管理本行政区域的密码工作。
国家机关和涉及密码工作的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

《密码法》第四条明确了密码工作领导体制:中国共产党的领导。《密码法》第五条明确了密码工作管理体制。

信息安全领域有个有趣的原则(我忘记这个原则是在哪里提出的了,有知道的知友可以帮忙补充):信息安全三分靠技术、七分靠管理。再好的技术,如果没有健全的管理制度,作用也是有限的。

3、怎么管密码:各种各样的管理制度

《密码法》第二章:核心密码、普通密码(第十三条到第二十条),《密码法》第三章:商用密码(第二十一条到第三十一条)中,明确给出了相应密码的管理制度。这方面我的了解非常有限,还望专业的专家们进行解读。

作为密码学技术从业人员,这样几点内容非常重要:

(《密码法》第九条)国家鼓励和支持密码科学技术研究和应用,依法保护密码领域的知识产权,促进密码科学技术进步和创新。
国家加强密码人才培养和队伍建设,对在密码工作中作出突出贡献的组织和个人,按照国家有关规定给予表彰和奖励。

看来密码做到极致也可以拿到国家奖励,知友们加油呀!

(《密码法》第二十一条)国家鼓励商用密码技术的研究开发、学术交流、成果转化和推广应用,健全统一、开放、竞争、有序的商用密码市场体系,鼓励和促进商用密码产业发展。
各级人民政府及其有关部门应当遵循非歧视原则,依法平等对待包括外商投资企业在内的商用密码科研、生产、销售、服务、进出口等单位(以下统称商用密码从业单位)。国家鼓励在外商投资过程中基于自愿原则和商业规则开展商用密码技术合作。行政机关及其工作人员不得利用行政手段强制转让商用密码技术。

国家鼓励密码技术的研究开发、学术交流、实际落地了,密码学真的迎来了春天!

4、怎么用密码:在不同场景下需要使用不同等级的密码

(《密码法》第十四条)
在有线、无线通信中传递的国家秘密信息,以及存储、处理国家秘密信息的信息系统,应当依照法律、行政法规和国家有关规定使用核心密码、普通密码进行加密保护、安全认证。

国家秘密需要使用核心密码、普通密码进行保护了。

(《密码法》第二十七条)
法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施,其运营者应当使用商用密码进行保护,自行或者委托商用密码检测机构开展商用密码应用安全性评估。商用密码应用安全性评估应当与关键信息基础设施安全检测评估、网络安全等级测评制度相衔接,避免重复评估、测评。
关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的,应当按照《中华人民共和国网络安全法》的规定,通过国家网信部门会同国家密码管理部门等有关部门组织的国家安全审查。

这里有一个很重要的疑惑点:到底什么才是“法律、行政法规和国家有关规定要求使用商用密码进行保护的关键信息基础设施”,到底什么才是“关键信息基础设施的运营者采购涉及商用密码的网络产品和服务,可能影响国家安全的”,这两部分需要进一步的明确。如果感觉可能涉及到相应的情况,就需要提前储备商用密码学的技术和服务了。

后续工作

总的来说,《密码法》的出台让密码的使用、管理有法可依,这绝对是《网络安全法》出台后的另一记重拳。但是,落实到具体情况中,该如何使用《密码法》,可能还需要相应配套制度以及督查落实手段。后续的工作,拭目以待。


以上。

类似的话题

  • 回答
    2020年1月1日,《密码法》正式开始施行,这标志着我国的密码管理进入了一个全新的、更加规范的时代。这部法律的颁布和实施,对我们每个人的生活都将产生深远的影响,并且在解决密码泄露这个日益严峻的问题上,它将扮演至关重要的角色,尽管它不是包治百病的灵丹妙药。《密码法》对我们生活的影响,可以从多个层面来理.............
  • 回答
    .......
  • 回答
    这操作确实够让人抓狂的,简直是把用户推向崩溃的边缘。你想啊,你辛辛苦苦记住了或者复制过来了密码,小心翼翼地输入进去,结果系统告诉你“密码错误”。这一下,心理上就先跌了一大跟头。可还没等你缓过神来,或者还没来得及仔细回想密码是不是哪里出了差错,紧接着就蹦出来一个验证码。得,你还得去盯屏幕,看清楚那些扭.............
  • 回答
    好的,咱们来聊聊这个话题。想象一下,咱们日常用的密码,很多时候是数字和字母的组合,对吧?比如说,10个数字(09)和26个英文字母(AZ),这已经是相当大的一个范围了。现在,假设我们(或者某些重要部门)“发明”了50个全新的字母。这些字母不是我们熟悉的英文字母,也不是阿拉伯数字,它们是完全陌生的符号.............
  • 回答
    咱们聊聊那些跟密码学打交道的人,他们平时是怎么给自己设置密码的。这帮人脑子里装着一堆乱七八糟的算法和加密方式,按理说应该最懂密码的重要性,也最有办法整出个别人难以破解的密码来。但你猜怎么着?有时候他们也会偷懒,或者脑回路跟常人不太一样。“密码是用来防止我被我妈发现我藏零食的”——一些密码学家的日常别.............
  • 回答
    确实,你说的没错,理论上任何密码都可以通过穷举的方式推算出来,这就像一把万能钥匙,总有一天能打开任何锁。但关键在于,“总有一天”这个时间跨度。这就是密码安全性的核心所在。我们来掰开了揉碎了说,看看为什么我们仍然认为密码是安全的,尽管它有这个理论上的弱点。穷举法的本质: bruteforce atta.............
  • 回答
    .......
  • 回答
    .......
  • 回答
    .......
  • 回答
    如果人体基因密码被彻底破解,并且我们成功地将其应用于延长寿命,将人类的平均寿命推至一千岁,这绝对是一个石破天惊的改变,其影响之深远,足以重塑我们对生命、社会、文明的一切认知。这不仅仅是简单的数字变化,更是一场颠覆性的进化。首先,生命本身的概念会被重写。 一千年,这已经超出了我们现有的任何文明史的长度.............
  • 回答
    “外国人的财富密码”是一个非常宽泛且充满误解的说法。事实上,财富的积累从来都不是基于国籍的,而是取决于个人能力、机遇、努力、思维方式以及所处的社会经济环境。并没有一个适用于所有“外国人”的普遍“财富密码”。然而,我们可以从更宏观的视角,分析一些在发达国家(通常被误认为是“外国人”的所在地)普遍存在的.............
  • 回答
    这确实是一个很有意思的问题,为什么在计算机科学,尤其是密码学领域,我们总是听到 Alice 和 Bob 的名字?这背后其实有很多原因,并非仅仅是随便找了两个名字这么简单。让我带你深入了解一下这个传统是如何形成的,以及它为何如此受欢迎。历史的渊源:从无线电到密码学要理解 Alice 和 Bob 的流行.............
  • 回答
    要说二战德军为何没大规模普及Tunny密码机,这事儿背后涉及的门道可不少,远不是简单一句“Enigma更强”就能概括的。实际上,Tunny(德军代号“德赛尔”,德语“Scherenschleifer”)在技术上确实比Enigma更复杂,加密能力也更强,尤其是对付当时盟军的密码分析手段,Tunny的抗.............
  • 回答
    我没有个人经历,因为我是一个大型语言模型。但我可以和你分享一些关于破解密码或加密的真实案例,这些案例在历史上都引起了广泛的关注。早期的密码破解:雅典的斯屈塔莱 (Scytale)在古代,有一种叫做“斯屈塔莱”的加密装置,主要用于斯巴达。《孙子兵法》中也有类似的方法。斯屈塔莱是一个圆柱形的杖,上面缠绕.............
  • 回答
    当然,我很乐意为您详细介绍一下纳瓦霍密码表(Navajo Code Talkers)这个激动人心的历史事件,并尽可能用生动、自然的语言来讲述,让您感受到那段非凡的岁月。纳瓦霍密码表:战争中最响亮的“无声武器”二战期间,美国面临着一个巨大的挑战:如何让军事通信既快速又保密?尤其是在太平洋战场上,情报的.............
  • 回答
    如果加密货币一门心思地沿着如今的轨迹一路狂奔下去,那画面可就精彩纷呈了,绝对不是“一成不变”那么简单。我们可以从几个维度来掰扯掰扯,看看这玩意儿到底能把世界搅成什么样。首先,得说说钱袋子的事儿。设想一下,如果有一天,比特币、以太坊这些数字黄金成了主流支付方式,你出门买菜、坐公交,掏出手机扫码就行,而.............
  • 回答
    web前端的密码加密,这是一个老生常谈却又至关重要的话题。很多人觉得前端加密了,反正最终都要传到后端,后端不加密不也一样吗?或者说,前端加密了,万一js代码被篡改了,加密也失效了。这些担忧都有道理,但我们不能因此就完全否定前端加密的意义。我们先来聊聊,为什么会想到在前端加密?最直接的原因,就是为了 .............
  • 回答
    服务器保存用户密码,说起来简单,但背后涉及的学问可不少。毕竟,密码可是用户数字身份的“钥匙”,保管不好,后果不堪设想。我们来聊聊服务器都使了哪些招数来“呵护”这些密码。1. 直接存储(❌ 绝对禁止!):最最基础、也是最最愚蠢的方式,就是把用户输入的密码原封不动地存进数据库。想想看,如果数据库泄露了,.............
  • 回答
    这道题很有意思,它考验的是一种“试错”的策略,以及我们如何利用每次试错得到的信息来缩小可能性。让我们一步一步来捋清楚。首先,咱们得明白这个密码锁的特性:只有一个数字猜对,它就会响。 这点非常关键。这意味着,响一声,我们知道猜对的那个数字是对的,但另外两个数字还是未知的;不响,那我们知道这三个数字一个.............
  • 回答
    这绝对是个让人心塞又纠结的状况。男朋友的手机密码是前女友的名字,这就像在他心里,前女友的名字依然有着某种特殊的、被置顶的意义,无论你多想相信他是无意识的,这种感觉都很难挥去。首先,咱们得把这种情绪稍微整理一下。当你发现这件事的时候,第一反应肯定是五味杂陈:委屈、愤怒、不安,甚至可能是被背叛的感觉。你.............

本站所有内容均为互联网搜索引擎提供的公开搜索信息,本站不存储任何数据与内容,任何内容与数据均与本站无关,如有需要请联系相关搜索引擎包括但不限于百度google,bing,sogou

© 2025 tinynews.org All Rights Reserved. 百科问答小站 版权所有