阮一峰:密码疲劳

jopen 9年前

阮一峰:密码疲劳


作者: 阮一峰

上个月的最后一天,人民银行网站公布了《非银行支付机构网络支付业务管理办法(征求意见稿)》

这个文件立刻引起了全国的关注,但是,第 28 条却少有人讨论。

第二十八条 ...... 支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过 1000 元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

这一条看上去有点复杂,但是实际很简单。它就是说,如果支付时只有密码认证(即只输入密码就能付款),那么每天最多只能支付 1000 元,其他就要走银行渠道。如果能采用更安全的认证方式,那么支付额度就可以提高。

看出了潜台词吗?

嗯,央行觉得密码不安全,需要其他方式确认"你就是你"。第 28 条用了一个词"不足两类要素进行验证的交易",这是指什么呢?

阮一峰:密码疲劳

原来,密码学认为,有三类要素可以确认"你就是你"。

(1)你知道的要素,比如密码、暗号等等。这件事只有你知道,别人不知道。

(2)你拥有的要素,一把钥匙、一块手表、一件信物等等。这件东西只有你有,别人没有。

(3)你的生理要素,指纹、面部特征、DNA 等等。这些生理特征,每个人都不一样。

上面的这三类要素,任何单独的一个都可以确认"你就是你",但不够安全。如果能够两个要素联合确认,那么安全系数就大大提高了。

密码属于第一类要素,央行的意思就是说,支付的时候,还应该再提供另一类要素,证明你的身份。比如,很多银行会向用户提供U盾,要求使用时插 入,这属于第二类要素,这个U盾只有你有,别人没有。再比如,新开业的网上银行,很可能要求用户使用摄像头"刷脸",与身份证比对,这属于第三类要素,你 的脸来证明"你就是你"。

阮一峰:密码疲劳

听上去很美,不是吗?那么严密的措施、那么多高科技手段,保证你的资金不会被盗用,现在你可以高深无忧地使用互联网了,但是......但是,你不觉得这很累吗?

说实话,单单使用密码,就已经很累了。2002 年,英国有一项研究发现,重度的互联网用户平均需要记住 21 个密码。十多年过去了,现在你需要记住多少个网站的密码,有没有 100 个?何况,现在的密码要求越来越复杂,长度和类型都有严格规定。

阮一峰:密码疲劳

不开玩笑,很多人连自己的密码都记不住。举例来说,大家都喜欢用苹果公司的产品,但是使用它的产品,你需要一个用户名 Apple ID 和对应的密码。苹果公司对这个密码,有严格规定。

阮一峰:密码疲劳

"Apple 政策要求您将高安全性密码用于 Apple ID。密码必须至少含有 8 个字符,其中不得包含 3 个以上连续相同的字符,并且必须包含一个数字、一个大写字母和一个小写字母。您还可以添加其他字符和标点符号,以提高密码的安全性。(摘自苹果官方网站)"

我很好奇,如果三个月不用,会不会一半的人想不起这个密码?

下面是某网站的密码校验逻辑,只要其中有一条不满足,密码就通不过。

阮一峰:密码疲劳

总之,单单使用密码,就已经让人觉得很累了。现在,又加上多要素联合认证,真是雪上加霜。

心理学有一个名词,叫做"密码疲劳"(password fatigue),指某些用户一遇到输入密码的场合,就感到厌倦和疲劳。

下面是"密码疲劳"的一些典型发作场合。

  • 要求创建一个新的密码;
  • 创建的密码太简单,不符合网站要求,要求重新创建;
  • 创建密码的时候,要求输入两次;
  • 明明已经登陆,但是进入重要功能时,要求再输一遍密码;
  • 创建密码的时候,不显示或者显示占位符,根本看不清自己输入的是什么。

随着对密码的要求越来越严格,我觉得,大多数人最终可能都是"密码疲劳"的患者。生活中让人疲劳的事情已经很多了:工作、物价、水、空气、交通......现在居然连密码,都让人感到疲劳。

阮一峰:密码疲劳

安全和简单,是一对矛盾。安全系数越高的东西,就越不简单;而越简单的东西,可能就越不安全。但是,人类偏偏是一种不那么精确和严格的生物,还有点懒惰......到底有没有办法,能够做到既安全又简单,让人用着不累呢?

欧美的信用卡是没有密码的。一刷就能用,特别方便。Amazon 甚至做到了"一键购买",只要你提交了信用卡信息,按一下鼠标,就支付成功,完全没有其他操作。这说明,密码不是必须的,无密码支付是可以做到的,但这必 须基于健全的信用制度。中国能实现吗,我觉得不乐观。

退一步说,能不能找到一种不那么强迫的方法,取代密码,轻轻松松就通过认证?一家叫做 BehavioSec 的瑞典公司,正在进行的生物行为计量特征的实验,也许值得介绍。

阮一峰:密码疲劳

这家公司发现,每个人打字的特征是不一样的。

  • 某些键你会按得特别快,另一些键特别慢;
  • 从一个键跳到另一个键的时间间隔也有差异;
  • 每个人还有自己打得最熟练的单词。

总之,单单是打字这件事,就可以观察到几百个指标。通过这些指标,就可以识别用户。需要登陆的时候,你打字输入一段话,网站就能知道你是谁了。

这种方法要比强行记忆密码,轻松多了,应该不那么容易让人疲劳。它已经有了原型产品,感兴趣的读者可以访问该公司的官网 Behaviosec.com,或者安装 Chrome 插件体验一下。

阮一峰:密码疲劳

现代哲学认为,人有强烈意愿,成为他自己。但是,技术告诉你,要真正把你和其他人区分开来,其实是非常难的。那些具体的细节,想想都觉得疲劳。

[注] 本文的删节版发表在 2015 年 8 月 17 日的《财新周刊》

</div>