阮一峰:密碼疲勞

jopen 9年前發布 | 6K 次閱讀 密碼

阮一峰:密碼疲勞


作者: 阮一峰

上個月的最后一天,人民銀行網站公布了《非銀行支付機構網絡支付業務管理辦法(征求意見稿)》

這個文件立刻引起了全國的關注,但是,第 28 條卻少有人討論。

第二十八條 ...... 支付機構采用不足兩類要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過 1000 元,且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任。

</blockquote>

這一條看上去有點復雜,但是實際很簡單。它就是說,如果支付時只有密碼認證(即只輸入密碼就能付款),那么每天最多只能支付 1000 元,其他就要走銀行渠道。如果能采用更安全的認證方式,那么支付額度就可以提高。

看出了潛臺詞嗎?

嗯,央行覺得密碼不安全,需要其他方式確認"你就是你"。第 28 條用了一個詞"不足兩類要素進行驗證的交易",這是指什么呢?

阮一峰:密碼疲勞

原來,密碼學認為,有三類要素可以確認"你就是你"。

(1)你知道的要素,比如密碼、暗號等等。這件事只有你知道,別人不知道。

(2)你擁有的要素,一把鑰匙、一塊手表、一件信物等等。這件東西只有你有,別人沒有。

(3)你的生理要素,指紋、面部特征、DNA 等等。這些生理特征,每個人都不一樣。

</blockquote>

上面的這三類要素,任何單獨的一個都可以確認"你就是你",但不夠安全。如果能夠兩個要素聯合確認,那么安全系數就大大提高了。

密碼屬于第一類要素,央行的意思就是說,支付的時候,還應該再提供另一類要素,證明你的身份。比如,很多銀行會向用戶提供U盾,要求使用時插 入,這屬于第二類要素,這個U盾只有你有,別人沒有。再比如,新開業的網上銀行,很可能要求用戶使用攝像頭"刷臉",與身份證比對,這屬于第三類要素,你 的臉來證明"你就是你"。

阮一峰:密碼疲勞

聽上去很美,不是嗎?那么嚴密的措施、那么多高科技手段,保證你的資金不會被盜用,現在你可以高深無憂地使用互聯網了,但是......但是,你不覺得這很累嗎?

說實話,單單使用密碼,就已經很累了。2002 年,英國有一項研究發現,重度的互聯網用戶平均需要記住 21 個密碼。十多年過去了,現在你需要記住多少個網站的密碼,有沒有 100 個?何況,現在的密碼要求越來越復雜,長度和類型都有嚴格規定。

阮一峰:密碼疲勞

不開玩笑,很多人連自己的密碼都記不住。舉例來說,大家都喜歡用蘋果公司的產品,但是使用它的產品,你需要一個用戶名 Apple ID 和對應的密碼。蘋果公司對這個密碼,有嚴格規定。

阮一峰:密碼疲勞

"Apple 政策要求您將高安全性密碼用于 Apple ID。密碼必須至少含有 8 個字符,其中不得包含 3 個以上連續相同的字符,并且必須包含一個數字、一個大寫字母和一個小寫字母。您還可以添加其他字符和標點符號,以提高密碼的安全性。(摘自蘋果官方網站)"

</blockquote>

我很好奇,如果三個月不用,會不會一半的人想不起這個密碼?

下面是某網站的密碼校驗邏輯,只要其中有一條不滿足,密碼就通不過。

阮一峰:密碼疲勞

總之,單單使用密碼,就已經讓人覺得很累了。現在,又加上多要素聯合認證,真是雪上加霜。

心理學有一個名詞,叫做"密碼疲勞"(password fatigue),指某些用戶一遇到輸入密碼的場合,就感到厭倦和疲勞。

下面是"密碼疲勞"的一些典型發作場合。

  • 要求創建一個新的密碼;

  • 創建的密碼太簡單,不符合網站要求,要求重新創建;

  • 創建密碼的時候,要求輸入兩次;

  • 明明已經登陸,但是進入重要功能時,要求再輸一遍密碼;

  • 創建密碼的時候,不顯示或者顯示占位符,根本看不清自己輸入的是什么。
    • </ul> </blockquote>

    隨著對密碼的要求越來越嚴格,我覺得,大多數人最終可能都是"密碼疲勞"的患者。生活中讓人疲勞的事情已經很多了:工作、物價、水、空氣、交通......現在居然連密碼,都讓人感到疲勞。

    阮一峰:密碼疲勞

    安全和簡單,是一對矛盾。安全系數越高的東西,就越不簡單;而越簡單的東西,可能就越不安全。但是,人類偏偏是一種不那么精確和嚴格的生物,還有點懶惰......到底有沒有辦法,能夠做到既安全又簡單,讓人用著不累呢?

    歐美的信用卡是沒有密碼的。一刷就能用,特別方便。Amazon 甚至做到了"一鍵購買",只要你提交了信用卡信息,按一下鼠標,就支付成功,完全沒有其他操作。這說明,密碼不是必須的,無密碼支付是可以做到的,但這必 須基于健全的信用制度。中國能實現嗎,我覺得不樂觀。

    退一步說,能不能找到一種不那么強迫的方法,取代密碼,輕輕松松就通過認證?一家叫做 BehavioSec 的瑞典公司,正在進行的生物行為計量特征的實驗,也許值得介紹。

    阮一峰:密碼疲勞

    這家公司發現,每個人打字的特征是不一樣的。

    • 某些鍵你會按得特別快,另一些鍵特別慢;

    • 從一個鍵跳到另一個鍵的時間間隔也有差異;

    • 每個人還有自己打得最熟練的單詞。
      • </ul> </blockquote>

      總之,單單是打字這件事,就可以觀察到幾百個指標。通過這些指標,就可以識別用戶。需要登陸的時候,你打字輸入一段話,網站就能知道你是誰了。

      這種方法要比強行記憶密碼,輕松多了,應該不那么容易讓人疲勞。它已經有了原型產品,感興趣的讀者可以訪問該公司的官網 Behaviosec.com,或者安裝 Chrome 插件體驗一下。

      阮一峰:密碼疲勞

      現代哲學認為,人有強烈意愿,成為他自己。但是,技術告訴你,要真正把你和其他人區分開來,其實是非常難的。那些具體的細節,想想都覺得疲勞。

      [注] 本文的刪節版發表在 2015 年 8 月 17 日的《財新周刊》

 本文由用戶 jopen 自行上傳分享,僅供網友學習交流。所有權歸原作者,若您的權利被侵害,請聯系管理員。
 轉載本站原創文章,請注明出處,并保留原始鏈接、圖片水印。
 本站是一個以用戶分享為主的開源技術平臺,歡迎各類分享!
  本文地址:http://www.baiduhome.net/news/view/307ea1