中国拟立法密码法 密码法立法原则 密码怎么设置才最安全？附：密码行业标准列表

25日十三届全国人大常委会提请密码法草案初次审议。

草案明确，任何组织或者个人不得窃取他人的加密信息，不得非法侵入他人的密码保障系统，不得利用密码从事危害国家安全、社会公共利益、他人合法权益的活动或者其他违法犯罪活动。

密码法草案中的密码，是指使用特定变换对信息等进行加密保护或者安全认证的产品、技术和服务。密码的主要功能有两个：一个是加密保护，另一个是安全认证。

密码法草案共分总则，核心密码、普通密码，商用密码，法律责任，附则五章四十四条。

作为一部密码领域综合性、基础性法律，密码法立法过程中秉持三个原则：一是明确对核心密码、普通密码与商用密码实行分类管理的原则。二是注重把握职能转变和“放管服”需要与保障国家安全的平衡。三是注意处理好草案与网络安全法、保守国家秘密法等有关法律的关系。

关于密码工作的领导和管理体制，草案明确：坚持中国共产党对密码工作的领导;中央密码工作领导机构对全国密码工作实行统一领导，制定国家密码重大方针政策，统筹协调国家密码重大事项和重要工作，推进国家密码法治建设。国家密码管理部门负责管理全国的密码工作;县级以上地方各级密码管理部门负责管理本行政区域的密码工作;国家机关和涉及密码的单位在其职责范围内负责本机关、本单位或者本系统的密码工作。

关于密码的分类管理原则，草案明确规定密码分为核心密码、普通密码和商用密码，实行分类管理。

相应的，草案提出了密码分类保护的原则要求：核心密码、普通密码用于保护国家秘密信息，核心密码保护信息的最高密级为绝密级，普通密码保护信息的最高密级为机密级;核心密码、普通密码属于国家秘密，由密码管理部门依法实行严格统一管理。商用密码用于保护不属于国家秘密的信息;公民、法人和其他组织均可依法使用商用密码保护网络与信息安全。

此外，草案还规定了相应的法律责任。

密码怎么设置才最安全?

1、复杂密码不一定更安全

我们一般认为复杂的密码会更安全，一串密码里包括字母、数字和特殊符号一定就很安全了，但事实似乎并不是这样。

事实证明如果将词汇随机混合，破解会更难一些，比如“pig coffee wandered black”，用容易记住的部分替代词汇反而更容易破解，比如换成“br0k3n!”。

2、频繁换密码不一定更安全

之前有密码专家建议用户每隔90天修改一次密码，在词汇中加入大写字母、数字或者符号，例如，“protected”可以变成“pr0t3cT3d4!”。但后来他表示这种说法其实是不正确的。

按照现在的建议，用户不需要频繁更换密码，因为用户在更换时一般只会对现有密码进行微小的修改，比如将“monkey1”变成“monkey2”，要推断并不难。

3、不要重复使用密码

大多数人使用的密码都是通用在各个平台的，这样的情况下密码会比较容易泄露出去，一旦一个平台的密码被破解，其他平台也相应很容易被破解。所以，各个平台建议使用不同的密码。

4、双重验证更安全

除了密码以外，我们还经常回用到手机短信验证和密保问题等，这也是提高密码安全性的一个方面。对于软件来说，更安全的办法是使用双重验证。

附：密码行业标准列表

GM/T 0001-2012 祖冲之序列密码算法

GM/T 0002-2012 SM4分组密码算法(原SMS4分组密码算法)

GM/T 0003-2012 SM2椭圆曲线公钥密码算法

GM/T 0004-2012 SM3密码杂凑算法

GM/T 0005-2012 随机性检测规范

GM/T 0006-2012 密码应用标识规范

GM/T 0008-2012 安全芯片密码检测准则

GM/T 0009-2012 SM2密码算法使用规范

GM/T 0010-2012 SM2密码算法加密签名消息语法规范

GM/T 0011-2012 可信计算 可信密码支撑平台功能与接口规范

GM/T 0012-2012 可信计算 可信密码模块接口规范

GM/T 0013-2012 可信计算 可信密码模块符合性检测规范

GM/T 0014-2012 数字证书认证系统密码协议规范

GM/T 0015-2012 基于SM2密码算法的数字证书格式规范

GM/T 0016-2012 智能密码钥匙密码应用接口规范

GM/T 0017-2012 智能密码钥匙密码应用接口数据格式规范

GM/T 0018-2012 密码设备应用接口规范

GM/T 0019-2012 通用密码服务接口规范

GM/T 0020-2012 证书应用综合服务接口规范

GM/T 0021-2012 动态口令密码应用技术规范

GM/T 0022-2014 IPSec VPN技术规范

GM/T 0023-2014 IPSec VPN 网关产品规范

GM/T 0024-2014 SSL VPN技术规范

GM/T 0025-2014 SSL VPN 网关产品规范

GM/T 0026-2014 安全认证网关产品规范

GM/T 0027-2014 智能密码钥匙技术规范

GM/T 0028-2014 密码模块安全技术要求

GM/T 0029-2014 签名验签服务器技术规范

GM/T 0030-2014 服务器密码机技术规范

GM/T 0031-2014 安全电子签章密码技术规范

GM/T 0032-2014 基于角色的授权管理与访问控制技术规范

GM/T 0033-2014 时间戳接口规范

GM/T 0034-2014 基于SM2密码算法的证书认证系统密码及其相关安全技术规范

GM/T 0035-2014 射频识别系统密码应用技术要求

GM/T 0036-2014 采用非接触卡的门禁系统密码应用技术指南

GM/T 0037-2014 证书认证系统检测规范

GM/T 0038-2014 证书认证密钥管理系统检测规范

GM/T 0039-2015 密码模块安全检测要求

GM/T 0040-2015 射频识别标签模块密码检测准则

GM/T 0041-2015 智能IC卡密码检测规范

GM/T 0042-2015 三元对等密码安全协议测试规范

GM/T 0043-2015 数字证书互操作检测规范

GM/T 0044-2016 SM9标识密码算法

GM/T 0045-2016 金融数据密码机技术规范

GM/T 0046-2016 金融数据密码机检测规范

GM/T 0047-2016 安全电子签章密码检测规范

GM/T 0048-2016 智能密码钥匙密码检测规范

GM/T 0049-2016 密码键盘密码检测规范

GM/T 0050-2016 密码设备管理 设备管理技术规范

GM/T 0051-2016 密码设备管理 对称密钥管理技术规范

GM/T 0052-2016 密码设备管理 VPN设备监察管理规范

GM/T 0053-2016 密码设备管理 远程监控与合规性检验接口数据规范