密碼疲勞

阮一峰發表於2015-08-18
密碼

上個月的最後一天,人民銀行網站公佈了《非銀行支付機構網路支付業務管理辦法(徵求意見稿)》

這個檔案立刻引起了全國的關注,但是,第28條卻少有人討論。

第二十八條 ...... 支付機構採用不足兩類要素進行驗證的交易,單個客戶所有支付賬戶單日累計金額應不超過1000元,且支付機構應當承諾無條件全額承擔此類交易的風險損失賠付責任。

這一條看上去有點複雜,但是實際很簡單。它就是說,如果支付時只有密碼認證(即只輸入密碼就能付款),那麼每天最多隻能支付1000元,其他就要走銀行渠道。如果能採用更安全的認證方式,那麼支付額度就可以提高。

看出了潛臺詞嗎?

嗯,央行覺得密碼不安全,需要其他方式確認"你就是你"。第28條用了一個詞"不足兩類要素進行驗證的交易",這是指什麼呢?

原來,密碼學認為,有三類要素可以確認"你就是你"。

(1)你知道的要素,比如密碼、暗號等等。這件事只有你知道,別人不知道。

(2)你擁有的要素,一把鑰匙、一塊手錶、一件信物等等。這件東西只有你有,別人沒有。

(3)你的生理要素,指紋、面部特徵、DNA等等。這些生理特徵,每個人都不一樣。

上面的這三類要素,任何單獨的一個都可以確認"你就是你",但不夠安全。如果能夠兩個要素聯合確認,那麼安全係數就大大提高了。

密碼屬於第一類要素,央行的意思就是說,支付的時候,還應該再提供另一類要素,證明你的身份。比如,很多銀行會向使用者提供U盾,要求使用時插入,這屬於第二類要素,這個U盾只有你有,別人沒有。再比如,新開業的網上銀行,很可能要求使用者使用攝像頭"刷臉",與身份證比對,這屬於第三類要素,你的臉來證明"你就是你"。

聽上去很美,不是嗎?那麼嚴密的措施、那麼多高科技手段,保證你的資金不會被盜用,現在你可以高深無憂地使用網際網路了,但是......但是,你不覺得這很累嗎?

說實話,單單使用密碼,就已經很累了。2002年,英國有一項研究發現,重度的網際網路使用者平均需要記住21個密碼。十多年過去了,現在你需要記住多少個網站的密碼,有沒有100個?何況,現在的密碼要求越來越複雜,長度和型別都有嚴格規定。

不開玩笑,很多人連自己的密碼都記不住。舉例來說,大家都喜歡用蘋果公司的產品,但是使用它的產品,你需要一個使用者名稱 Apple ID和對應的密碼。蘋果公司對這個密碼,有嚴格規定。

"Apple 政策要求您將高安全性密碼用於 Apple ID。密碼必須至少含有 8 個字元,其中不得包含 3 個以上連續相同的字元,並且必須包含一個數字、一個大寫字母和一個小寫字母。您還可以新增其他字元和標點符號,以提高密碼的安全性。(摘自蘋果官方網站)"

我很好奇,如果三個月不用,會不會一半的人想不起這個密碼?

下面是某網站的密碼校驗邏輯,只要其中有一條不滿足,密碼就通不過。

總之,單單使用密碼,就已經讓人覺得很累了。現在,又加上多要素聯合認證,真是雪上加霜。

心理學有一個名詞,叫做"密碼疲勞"(password fatigue),指某些使用者一遇到輸入密碼的場合,就感到厭倦和疲勞。

下面是"密碼疲勞"的一些典型發作場合。

  • 要求建立一個新的密碼;
  • 建立的密碼太簡單,不符合網站要求,要求重新建立;
  • 建立密碼的時候,要求輸入兩次;
  • 明明已經登陸,但是進入重要功能時,要求再輸一遍密碼;
  • 建立密碼的時候,不顯示或者顯示佔位符,根本看不清自己輸入的是什麼。

隨著對密碼的要求越來越嚴格,我覺得,大多數人最終可能都是"密碼疲勞"的患者。生活中讓人疲勞的事情已經很多了:工作、物價、水、空氣、交通......現在居然連密碼,都讓人感到疲勞。

安全和簡單,是一對矛盾。安全係數越高的東西,就越不簡單;而越簡單的東西,可能就越不安全。但是,人類偏偏是一種不那麼精確和嚴格的生物,還有點懶惰......到底有沒有辦法,能夠做到既安全又簡單,讓人用著不累呢?

歐美的信用卡是沒有密碼的。一刷就能用,特別方便。Amazon甚至做到了"一鍵購買",只要你提交了信用卡資訊,按一下滑鼠,就支付成功,完全沒有其他操作。這說明,密碼不是必須的,無密碼支付是可以做到的,但這必須基於健全的信用制度。中國能實現嗎,我覺得不樂觀。

退一步說,能不能找到一種不那麼強迫的方法,取代密碼,輕輕鬆鬆就透過認證?一家叫做BehavioSec的瑞典公司,正在進行的生物行為計量特徵的實驗,也許值得介紹。

這家公司發現,每個人打字的特徵是不一樣的。

  • 某些鍵你會按得特別快,另一些鍵特別慢;
  • 從一個鍵跳到另一個鍵的時間間隔也有差異;
  • 每個人還有自己打得最熟練的單詞。

總之,單單是打字這件事,就可以觀察到幾百個指標。透過這些指標,就可以識別使用者。需要登陸的時候,你打字輸入一段話,網站就能知道你是誰了。

這種方法要比強行記憶密碼,輕鬆多了,應該不那麼容易讓人疲勞。它已經有了原型產品,感興趣的讀者可以訪問該公司的官網Behaviosec.com,或者安裝Chrome外掛體驗一下。

現代哲學認為,人有強烈意願,成為他自己。但是,技術告訴你,要真正把你和其他人區分開來,其實是非常難的。那些具體的細節,想想都覺得疲勞。

[注] 本文的刪節版發表在2015年8月17日的《財新週刊》

(完)

相關文章