2025年密码知识测试题及答案

2025年密码知识测试题及答案一、单项选择题（每题2分，共30分）1.以下哪种密码策略最符合2025年《信息安全技术个人信息保护密码应用指南》的要求？A.长度8位，包含字母和数字B.长度12位，包含大小写字母、数字和特殊符号，无重复字符段C.长度10位，使用常见单词加数字（如“Password2025”）D.长度6位，使用手机尾号与生日组合（如“138520”）答案：B解析：2025年修订的密码应用指南明确要求密码长度不低于12位，需包含至少4类字符（大小写字母、数字、特殊符号），且避免重复字符段或常见组合。2.某企业使用AES-256对用户敏感数据加密，以下描述正确的是？A.AES属于非对称加密算法，需公钥和私钥配合使用B.AES-256的密钥长度为256字节，安全性高于AES-128C.同一密钥加密相同明文会提供相同密文，需配合初始化向量（IV）使用D.AES加密后的数据无法被量子计算机破解，可长期用于核心系统答案：C解析：AES是对称加密算法（A错误）；密钥长度为256位（32字节）而非字节（B错误）；量子计算机对AES的破解仍需指数级时间，无法“无法被破解”（D错误）；使用固定IV会导致相同明文提供相同密文，需随机IV（C正确）。3.小李收到短信：“您的银行账户存在异常，点击链接重新设置密码”，最安全的处理方式是？A.直接点击链接，按提示输入原密码和新密码B.拨打银行官方客服电话核实，通过官方APP或网站修改密码C.将短信转发给朋友，询问是否收到类似信息D.复制链接到浏览器打开，输入部分个人信息验证答案：B解析：钓鱼短信常通过仿冒链接窃取密码，应通过官方渠道核实（B正确）；点击链接或输入信息可能导致密码泄露（A、D错误）；转发短信无法解决安全问题（C错误）。4.以下哪种场景最适合使用数字签名？A.加密传输的电子邮件内容B.验证文件在传输过程中未被篡改且发送者身份真实C.保护云存储中用户隐私数据的机密性D.提供用户登录时的一次性动态密码（OTP）答案：B解析：数字签名的核心功能是防篡改和身份认证（B正确）；加密内容需对称/非对称加密（A、C错误）；OTP由哈希或时间同步算法提供（D错误）。5.2025年某金融机构部署了基于FIDO2的无密码认证系统，其核心技术不包括？A.公钥密码学B.生物特征识别（如指纹、人脸）C.短信验证码D.安全密钥（如USB密钥、手机内置SE芯片）答案：C解析：FIDO2通过公钥对（用户私钥存储在设备，公钥注册在服务端）实现认证，支持生物特征或安全密钥（A、B、D正确）；短信验证码属于传统OTP，非FIDO2核心（C错误）。6.关于密码哈希存储，以下做法正确的是？A.使用MD5算法对用户密码进行哈希，加盐值后存储B.对同一系统内所有用户使用相同盐值（Salt）C.采用PBKDF2或Argon2算法，设置足够大的迭代次数D.为提升效率，直接存储用户明文密码的SHA-256哈希值答案：C解析：MD5已被证明易碰撞，不建议用于密码哈希（A错误）；盐值需唯一且随机（B错误）；直接存储哈希值易受彩虹表攻击，需慢哈希算法（如PBKDF2、Argon2）增加破解难度（C正确，D错误）。7.某物联网设备需与云端通信，考虑到资源受限，最适合的加密算法是？A.RSA-4096B.ECC（椭圆曲线加密）C.AES-256D.SHA-512答案：B解析：ECC在相同安全强度下密钥更短（如256位ECC≈3072位RSA），适合计算资源有限的物联网设备（B正确）；RSA密钥长、计算量大（A错误）；AES是对称加密，需解决密钥交换问题（C错误）；SHA是哈希算法，不提供加密（D错误）。8.以下哪种行为会显著增加密码泄露风险？A.使用密码管理器统一管理不同平台密码B.在公共WiFi下通过HTTPS访问银行官网C.将密码写在便利贴上贴在显示器旁边D.定期检查已注册网站的密码泄露情况（如通过HaveIBeenPwned）答案：C解析：物理存储密码易被他人获取（C正确）；密码管理器可提供复杂且唯一的密码（A安全）；HTTPS在公共WiFi下仍能加密传输（B安全）；定期检查泄露可及时修改（D安全）。9.2025年《关键信息基础设施密码应用要求》规定，以下哪类系统必须使用国密算法？A.社交平台用户聊天记录加密B.金融机构核心交易系统身份认证C.跨境电商平台商品信息展示D.个人云盘文件备份服务答案：B解析：关键信息基础设施（如金融、能源、通信）的核心功能（身份认证、数据加密）需采用国密算法（如SM2、SM3、SM4）（B正确）；非关键系统或非核心功能可使用国际标准（A、C、D错误）。10.小王设置了一个密码：“Lp@2025July”，以下评价正确的是？A.长度8位，不满足最低要求B.包含大小写字母、数字和特殊符号，符合复杂度要求C.使用“July”等常见单词，易被字典攻击破解D.未包含重复字符段，安全性极高答案：B解析：密码长度为11位（Lp@2025July实际为11字符，可能用户笔误，但按常规判断），假设正确长度下，包含大写L、小写p、数字2025、特殊符号@和，符合多类字符要求（B正确）；虽含“July”，但与其他字符混合后字典攻击难度增加（C错误）；“极高”表述绝对（D错误）。11.量子计算机对以下哪种密码算法威胁最大？A.AES-256（对称加密）B.SM4（国密对称加密）C.RSA（非对称加密）D.HMAC-SHA256（哈希消息认证码）答案：C解析：量子计算机可通过Shor算法高效分解大整数，破解RSA等基于大整数分解的公钥算法（C正确）；对称加密和哈希算法受量子攻击（如Grover算法）影响较小，仅需增加密钥长度（A、B、D错误）。12.多因素认证（MFA）的“因素”不包括？A.你知道的（如密码）B.你拥有的（如手机、U盾）C.你是什么（如指纹、虹膜）D.你在哪里（如IP地址定位）答案：D解析：MFA的三要素是“知道的”“拥有的”“生物特征”（A、B、C正确）；位置信息（如IP）属于上下文认证，非MFA核心因素（D错误）。13.某企业发现员工密码数据库泄露，包含哈希值和盐值，攻击者最可能通过哪种方式破解密码？A.暴力破解（穷举所有可能组合）B.字典攻击（使用常见密码字典匹配）C.重放攻击（截获并重复使用认证请求）D.中间人攻击（篡改通信数据）答案：B解析：泄露的哈希+盐值可通过预计算哈希表（彩虹表）或字典攻击匹配（B正确）；暴力破解时间成本过高（A错误）；重放和中间人攻击针对传输过程（C、D错误）。14.以下哪种密码重置流程符合安全要求？A.系统向用户注册手机发送验证码，验证通过后直接重置为初始密码“123456”B.要求用户提供身份证号、注册邮箱等信息，验证后允许设置新密码C.通过客服电话核实用户声音，确认后口头告知新密码D.点击密码重置链接后，无需额外验证直接跳转至新密码设置页面答案：B解析：需通过多信息验证身份（如手机+邮箱+身份证号）（B正确）；重置为弱密码（A错误）、口头告知密码（C错误）、无二次验证（D错误）均存在风险。15.2025年新型密码技术“同态加密”的主要优势是？A.加密后的数据可直接进行运算，无需解密B.密钥管理更简单，支持一对多加密C.抗量子攻击能力优于传统算法D.加密速度是AES的10倍以上答案：A解析：同态加密允许对密文进行计算（如求和、比较），结果解密后与明文计算一致（A正确）；密钥管理复杂度高（B错误）；抗量子性非其核心优势（C错误）；加密速度较慢（D错误）。二、判断题（每题1分，共10分）1.为方便记忆，可将密码设置为“用户名+生日”（如“zhangsan20000101”）。（）答案：×解析：包含个人信息的密码易被社会工程学破解。2.定期更换密码（如每30天）一定能提高账户安全性。（）答案：×解析：若新密码与旧密码相似或仍为弱密码，更换无意义；部分研究表明强制更换可能导致用户使用更简单的密码。3.生物特征（如指纹）可替代密码，因为无法被窃取或伪造。（）答案：×解析：生物特征可能被复制（如指纹膜），且泄露后无法重置（密码可修改），需与其他因素结合使用。4.哈希函数的“雪崩效应”是指输入微小变化会导致输出大幅变化。（）答案：√解析：雪崩效应是哈希函数的重要特性，确保输入差异反映在输出中。5.使用双因素认证（2FA）后，即使密码泄露，账户也不会被破解。（）答案：√解析：2FA要求同时提供密码和第二因素（如OTP），仅密码泄露无法完成认证。6.量子密码（如量子密钥分发QKD）可实现“无条件安全”的通信。（）答案：√解析：QKD基于量子力学测不准原理，任何窃听都会被察觉，理论上无法被破解。7.所有网站都应要求用户设置相同强度的密码（如必须包含特殊符号）。（）答案：×解析：密码强度应与风险等级匹配，如社交平台和银行账户的密码要求可不同。8.密码管理器提供的随机密码无需记忆，因此可以全部设置为相同长度（如16位）。（）答案：×解析：不同平台对密码长度、字符类型限制不同（如某些旧系统不支持特殊符号），需适配。9.加密后的数据在传输过程中被截获，攻击者无法获取明文，因此无需保护密钥。（）答案：×解析：密钥是加密的核心，泄露后密文可被解密，需严格保护（如通过密钥管理系统KMS）。10.2025年某智能手表采用“密码+心率特征”作为认证方式，属于多因素认证。（）答案：√解析：包含“知道的”（密码）和“生物特征”（心率）两类因素，符合MFA定义。三、简答题（每题6分，共30分）1.简述对称加密与非对称加密的核心区别，并各举一例常见算法。答案：核心区别：对称加密使用同一密钥进行加密和解密（如AES），密钥需安全传输；非对称加密使用公钥（加密）和私钥（解密），公钥可公开，私钥需保密（如RSA）。2.为什么密码存储时需要“加盐（Salt）”？加盐的注意事项有哪些？答案：加盐是为防止彩虹表攻击：若多个用户使用相同密码，无盐时哈希值相同，加盐后每个用户的哈希值不同。注意事项：盐值需随机且唯一（每个用户独立）、长度足够（至少16字节）、与哈希值一起存储但不公开。3.列举2025年常见的三种密码安全威胁，并说明防护措施。答案：（1）钓鱼攻击：仿冒网站窃取密码。防护：验证网站URL（如HTTPS、官方域名），不点击陌生链接。（2）弱密码攻击：使用字典或暴力破解弱密码。防护：设置长且复杂的密码，启用MFA。（3）密码复用：一个账户泄露导致其他账户受威胁。防护：使用密码管理器提供唯一密码。4.解释“零信任安全模型”对密码应用的要求。答案：零信任模型要求“永不信任，始终验证”，对密码应用的要求包括：-所有访问需多因素认证（如密码+生物特征）；-动态评估风险（如登录位置、设备异常时要求重新验证）；-禁止密码复用，强制使用高强度密码；-定期审计密码策略，及时更新算法（如淘汰MD5）。5.某企业计划部署基于国密算法的系统，需选择哪些国密算法实现身份认证、数据加密和哈希验证？答案：-身份认证：SM2（椭圆曲线公钥算法，用于数字签名）；-数据加密：SM4（对称加密算法，替代AES）；-哈希验证：SM3（哈希算法，替代SHA-256）。四、案例分析题（每题15分，共30分）案例1：某电商平台用户数据库泄露，包含用户手机号、明文密码（如“abc12345”）和支付信息。经调查，平台为提升用户体验，将密码存储为明文，且未限制密码复杂度。问题：（1）分析该平台密码管理存在的主要安全漏洞；（2）提出至少3条改进措施。答案：（1）主要漏洞：-明文存储密码，泄露后直接暴露用户隐私；-未强制密码复杂度（弱密码易被破解）；-缺乏密码保护机制（如哈希加盐、访问控制）。（2）改进措施：-使用PBKDF2或Argon2对密码进行哈希加盐存储，禁止明文存储；-强制密码长度≥12位，包含多类字符（大小写、数字、符号）；-启用多因素认证（如密码+短信验证码），降低密码泄露风险；-定期扫描弱密码用户，强制修改（如通过风险提示或临时锁定）。案例2：2025年，某银行推出“无密码登录”服务，用户通过手机指纹+设备绑定+动态地理位置验证完成登录。上线后部分用户反馈：“指纹识别失败时，系统要求输入原密码，但原密码已遗忘”；“更换手机后，无法通过新设备验证”。问题：（1）分析该“无密码登录”设计的潜在缺陷；（2）提出优化建议。答案：（