阮一峰:密码疲劳
作者: 阮一峰
上个月的最后一天,人民银行网站公布了《非银行支付机构网络支付业务管理办法(征求意见稿)》。
这个文件立刻引起了全国的关注,但是,第 28 条却少有人讨论。
第二十八条 ...... 支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过 1000 元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
这一条看上去有点复杂,但是实际很简单。它就是说,如果支付时只有密码认证(即只输入密码就能付款),那么每天最多只能支付 1000 元,其他就要走银行渠道。如果能采用更安全的认证方式,那么支付额度就可以提高。
看出了潜台词吗?
嗯,央行觉得密码不安全,需要其他方式确认"你就是你"。第 28 条用了一个词"不足两类要素进行验证的交易",这是指什么呢?
原来,密码学认为,有三类要素可以确认"你就是你"。
(1)你知道的要素,比如密码、暗号等等。这件事只有你知道,别人不知道。
(2)你拥有的要素,一把钥匙、一块手表、一件信物等等。这件东西只有你有,别人没有。
(3)你的生理要素,指纹、面部特征、DNA 等等。这些生理特征,每个人都不一样。
上面的这三类要素,任何单独的一个都可以确认"你就是你",但不够安全。如果能够两个要素联合确认,那么安全系数就大大提高了。
密码属于第一类要素,央行的意思就是说,支付的时候,还应该再提供另一类要素,证明你的身份。比如,很多银行会向用户提供U盾,要求使用时插入,这属于第二类要素,这个U盾只有你有,别人没有。再比如,新开业的网上银行,很可能要求用户使用摄像头"刷脸",与身份证比对,这属于第三类要素,你的脸来证明"你就是你"。
听上去很美,不是吗?那么严密的措施、那么多高科技手段,保证你的资金不会被盗用,现在你可以高深无忧地使用互联网了,但是......但是,你不觉得这很累吗?
说实话,单单使用密码,就已经很累了。2002 年,英国有一项研究发现,重度的互联网用户平均需要记住 21 个密码。十多年过去了,现在你需要记住多少个网站的密码,有没有 100 个?何况,现在的密码要求越来越复杂,长度和类型都有严格规定。
不开玩笑,很多人连自己的密码都记不住。举例来说,大家都喜欢用苹果公司的产品,但是使用它的产品,你需要一个用户名 Apple ID 和对应的密码。苹果公司对这个密码,有严格规定。
"Apple 政策要求您将高安全性密码用于 Apple ID。密码必须至少含有 8 个字符,其中不得包含 3 个以上连续相同的字符,并且必须包含一个数字、一个大写字母和一个小写字母。您还可以添加其他字符和标点符号,以提高密码的安全性。(摘自苹果官方网站)"
我很好奇,如果三个月不用,会不会一半的人想不起这个密码?
下面是某网站的密码校验逻辑,只要其中有一条不满足,密码就通不过。
总之,单单使用密码,就已经让人觉得很累了。现在,又加上多要素联合认证,真是雪上加霜。
心理学有一个名词,叫做"密码疲劳"(password fatigue),指某些用户一遇到输入密码的场合,就感到厌倦和疲劳。
下面是"密码疲劳"的一些典型发作场合。
- 要求创建一个新的密码;
- 创建的密码太简单,不符合网站要求,要求重新创建;
- 创建密码的时候,要求输入两次;
- 明明已经登陆,但是进入重要功能时,要求再输一遍密码;
- 创建密码的时候,不显示或者显示占位符,根本看不清自己输入的是什么。
随着对密码的要求越来越严格,我觉得,大多数人最终可能都是"密码疲劳"的患者。生活中让人疲劳的事情已经很多了:工作、物价、水、空气、交通......现在居然连密码,都让人感到疲劳。
安全和简单,是一对矛盾。安全系数越高的东西,就越不简单;而越简单的东西,可能就越不安全。但是,人类偏偏是一种不那么精确和严格的生物,还有点懒惰......到底有没有办法,能够做到既安全又简单,让人用着不累呢?
欧美的信用卡是没有密码的。一刷就能用,特别方便。Amazon 甚至做到了"一键购买",只要你提交了信用卡信息,按一下鼠标,就支付成功,完全没有其他操作。这说明,密码不是必须的,无密码支付是可以做到的,但这必须基于健全的信用制度。中国能实现吗,我觉得不乐观。
退一步说,能不能找到一种不那么强迫的方法,取代密码,轻轻松松就通过认证?一家叫做 BehavioSec 的瑞典公司,正在进行的生物行为计量特征的实验,也许值得介绍。
这家公司发现,每个人打字的特征是不一样的。
- 某些键你会按得特别快,另一些键特别慢;
- 从一个键跳到另一个键的时间间隔也有差异;
- 每个人还有自己打得最熟练的单词。
总之,单单是打字这件事,就可以观察到几百个指标。通过这些指标,就可以识别用户。需要登陆的时候,你打字输入一段话,网站就能知道你是谁了。
这种方法要比强行记忆密码,轻松多了,应该不那么容易让人疲劳。它已经有了原型产品,感兴趣的读者可以访问该公司的官网 Behaviosec.com,或者安装 Chrome 插件体验一下。
现代哲学认为,人有强烈意愿,成为他自己。但是,技术告诉你,要真正把你和其他人区分开来,其实是非常难的。那些具体的细节,想想都觉得疲劳。
[注] 本文的删节版发表在 2015 年 8 月 17 日的《财新周刊》。
正文到此结束
热门推荐
相关文章
近期评论
-
你这基本没有更新呀,最近文章显示还是2019年的文章。不符合要求哈
-
关键词:慕云博客 链接:https://www.lilun.me 描述:分享原创文字的个人博客
-
-
-
可以提供一下源码吗
-
不是商业站,鸡娃学习笔记
-
-
-
-
听他们说很厉害的样子
Loading...
![[HBLOG]公众号](http://www.liuhaihua.cn/img/qrcode_gzh.jpg)
