密码疲劳

作者: 阮一峰

日期: 2015年8月18日

珠峰培训

上个月的最后一天,人民银行网站公布了《非银行支付机构网络支付业务管理办法(征求意见稿)》

这个文件立刻引起了全国的关注,但是,第28条却少有人讨论。

第二十八条 ...... 支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

这一条看上去有点复杂,但是实际很简单。它就是说,如果支付时只有密码认证(即只输入密码就能付款),那么每天最多只能支付1000元,其他就要走银行渠道。如果能采用更安全的认证方式,那么支付额度就可以提高。

看出了潜台词吗?

嗯,央行觉得密码不安全,需要其他方式确认"你就是你"。第28条用了一个词"不足两类要素进行验证的交易",这是指什么呢?

原来,密码学认为,有三类要素可以确认"你就是你"。

(1)你知道的要素,比如密码、暗号等等。这件事只有你知道,别人不知道。

(2)你拥有的要素,一把钥匙、一块手表、一件信物等等。这件东西只有你有,别人没有。

(3)你的生理要素,指纹、面部特征、DNA等等。这些生理特征,每个人都不一样。

上面的这三类要素,任何单独的一个都可以确认"你就是你",但不够安全。如果能够两个要素联合确认,那么安全系数就大大提高了。

密码属于第一类要素,央行的意思就是说,支付的时候,还应该再提供另一类要素,证明你的身份。比如,很多银行会向用户提供U盾,要求使用时插入,这属于第二类要素,这个U盾只有你有,别人没有。再比如,新开业的网上银行,很可能要求用户使用摄像头"刷脸",与身份证比对,这属于第三类要素,你的脸来证明"你就是你"。

听上去很美,不是吗?那么严密的措施、那么多高科技手段,保证你的资金不会被盗用,现在你可以高深无忧地使用互联网了,但是......但是,你不觉得这很累吗?

说实话,单单使用密码,就已经很累了。2002年,英国有一项研究发现,重度的互联网用户平均需要记住21个密码。十多年过去了,现在你需要记住多少个网站的密码,有没有100个?何况,现在的密码要求越来越复杂,长度和类型都有严格规定。

不开玩笑,很多人连自己的密码都记不住。举例来说,大家都喜欢用苹果公司的产品,但是使用它的产品,你需要一个用户名 Apple ID和对应的密码。苹果公司对这个密码,有严格规定。

"Apple 政策要求您将高安全性密码用于 Apple ID。密码必须至少含有 8 个字符,其中不得包含 3 个以上连续相同的字符,并且必须包含一个数字、一个大写字母和一个小写字母。您还可以添加其他字符和标点符号,以提高密码的安全性。(摘自苹果官方网站)"

我很好奇,如果三个月不用,会不会一半的人想不起这个密码?

下面是某网站的密码校验逻辑,只要其中有一条不满足,密码就通不过。

总之,单单使用密码,就已经让人觉得很累了。现在,又加上多要素联合认证,真是雪上加霜。

心理学有一个名词,叫做"密码疲劳"(password fatigue),指某些用户一遇到输入密码的场合,就感到厌倦和疲劳。

下面是"密码疲劳"的一些典型发作场合。

  • 要求创建一个新的密码;
  • 创建的密码太简单,不符合网站要求,要求重新创建;
  • 创建密码的时候,要求输入两次;
  • 明明已经登陆,但是进入重要功能时,要求再输一遍密码;
  • 创建密码的时候,不显示或者显示占位符,根本看不清自己输入的是什么。

随着对密码的要求越来越严格,我觉得,大多数人最终可能都是"密码疲劳"的患者。生活中让人疲劳的事情已经很多了:工作、物价、水、空气、交通......现在居然连密码,都让人感到疲劳。

安全和简单,是一对矛盾。安全系数越高的东西,就越不简单;而越简单的东西,可能就越不安全。但是,人类偏偏是一种不那么精确和严格的生物,还有点懒惰......到底有没有办法,能够做到既安全又简单,让人用着不累呢?

欧美的信用卡是没有密码的。一刷就能用,特别方便。Amazon甚至做到了"一键购买",只要你提交了信用卡信息,按一下鼠标,就支付成功,完全没有其他操作。这说明,密码不是必须的,无密码支付是可以做到的,但这必须基于健全的信用制度。中国能实现吗,我觉得不乐观。

退一步说,能不能找到一种不那么强迫的方法,取代密码,轻轻松松就通过认证?一家叫做BehavioSec的瑞典公司,正在进行的生物行为计量特征的实验,也许值得介绍。

这家公司发现,每个人打字的特征是不一样的。

  • 某些键你会按得特别快,另一些键特别慢;
  • 从一个键跳到另一个键的时间间隔也有差异;
  • 每个人还有自己打得最熟练的单词。

总之,单单是打字这件事,就可以观察到几百个指标。通过这些指标,就可以识别用户。需要登陆的时候,你打字输入一段话,网站就能知道你是谁了。

这种方法要比强行记忆密码,轻松多了,应该不那么容易让人疲劳。它已经有了原型产品,感兴趣的读者可以访问该公司的官网Behaviosec.com,或者安装Chrome插件体验一下。

现代哲学认为,人有强烈意愿,成为他自己。但是,技术告诉你,要真正把你和其他人区分开来,其实是非常难的。那些具体的细节,想想都觉得疲劳。

[注] 本文的删节版发表在2015年8月17日的《财新周刊》

(完)

一灯学堂

留言(39条)

前排占座。

曾经想做一个chrome插件实现一键自动输入密码(仅限web页面),已经做了,自己在用。但是调研发现,大多用户很难信任这个插件,一旦被攻击泄露,后果也不堪设想。

干嘛不用1Password等软件

引用meepo的发言:

曾经想做一个chrome插件实现一键自动输入密码(仅限web页面),已经做了,自己在用。但是调研发现,大多用户很难信任这个插件,一旦被攻击泄露,后果也不堪设想。


这些东西还是比较相信那些比较知名的软件。

密码都放加密软件里了

引用meepo的发言:

曾经想做一个chrome插件实现一键自动输入密码(仅限web页面),已经做了,自己在用。但是调研发现,大多用户很难信任这个插件,一旦被攻击泄露,后果也不堪设想。

不是有Lastpass吗?

如果要打一段话那么多,我宁愿输密码……再说万一我车祸了受伤了意外身亡了,那段密码岂不是永远没人打得出……

1Password在召唤你~

价格贵,但是确实实用。只要记住一个超长的密码(master key)就行了,其他密码全部随机生成,要多长有多长。可以多设备间同步。在IOS上面,还支持指纹认证。

授权登录可以解决一些问题吧

公私钥认证呢?私钥写入身份信息,公钥在官方权威公布,实名和认证都可以保证了。如果有妄想症还可以不用RSA,采用可以抵抗量子计算的算法。。

我觉得通过模式来识别的问题在于,一旦模式泄漏,很容易模仿,特别是以技术手段模仿,而且容易在极端心理状态下失效,美剧《尼基塔》里就有类似的桥段。

生物要素的应用目前太少了,大多局限于指纹。而前两个要素的不确定性和不稳定性又非常大,不知道密码与安全的未来将会如何。

使用lastpass的默默飘过。。。

coursera已经部分采用输入法确认学习者了。

1password,毫无疑问

引用Sloth的发言:

1Password在召唤你~

价格贵,但是确实实用。只要记住一个超长的密码(master key)就行了,其他密码全部随机生成,要多长有多长。可以多设备间同步。在IOS上面,还支持指纹认证。

想请教下,1Password在网页和app上都能用是吧?

引用Sloth的发言:

1Password在召唤你~

价格贵,但是确实实用。只要记住一个超长的密码(master key)就行了,其他密码全部随机生成,要多长有多长。可以多设备间同步。在IOS上面,还支持指纹认证。

想请教下,1Password在网页和app上都能用是吧?

来过了,学到了。

银行的想法很简单:扼杀竞品的核心竞争力 -- 便捷

网站的用户体验有点差劲……
想按照时间分类看到所有文章,但是每次点进“更多文章”,头上总有一个奇奇怪怪的“首推文章”,然后下面仅仅只有最新的 20 篇……
能按照常规博客那样,按时间给所有文章排序吗?不喜欢博客右边的按时间分类和标签分类。

引用兔子的发言:

如果要打一段话那么多,我宁愿输密码……再说万一我车祸了受伤了意外身亡了,那段密码岂不是永远没人打得出……

要是能爆破,只要数据值得,打出来是时间问题

想问下博主,你博客怎么弄的英文啊?

互联网是现实社会的反映,现实中信用缺失的厉害,互联网中自然要做好防备。

验证再安全都没用,还是想办法规范保险市场吧~

昨天买个东西输了五个验证码

银行为了控制资金流想出的下策,没什么稀奇的。

每次要求改密码都很头痛

想当年用网银的时候,忘记过两次U盾密码,共花了60块。后来我就直接用快捷支付了,现在已经没有网银了。如今第三方支付没出安全问题实行这个政32132策只是银行犯傻以为自己生意被支付宝抢走了。我相信这个政3213策会极大的影响中国网络成交量。

下了那个插件,用了几周,没看到有什么效果啊?

靠输入字符非常不稳定。使用一个新键盘,新鼠标、进行了打字训练、感冒发烧身体虚弱等等都会发生变化。

国内有团队在做了 洋葱 https://www.yangcong.com/

论open id的没落

引用jeffo的发言:

银行的想法很简单:扼杀竞品的核心竞争力 -- 便捷

说道点子上了。

要是真的为用户考虑的话,直接规定用户资金丢失支付机构现行赔付(包括银行和非银行),之后支付机构再去追偿就行了呗。

因为同样感觉密码太多记不住,就用了lasspass,除了重要密码,其它全用lasspass,顿时轻松了许多。

想太多了!只需要电脑手机和服务器框架里实现一个账号通讯就行!
例如电脑上和浏览器会建立连接,第一次开发www.baidu.com,电脑会发送加密信息到www.baidu.com/account上,然后baidu.com进行注册登录等等!

密码泄漏事件的频繁发生让人不敢用相同的密码;
密码撞库、穷举爆破事件让人不敢用弱密码。


Two-factor Authentication (2FA)
使用方式3种:
1.Generating a code through a TOTP application
2.Using a FIDO U2F security key
3.Receiving a text message

https://help.github.com/articles/providing-your-2fa-authentication-code/

网易企业邮箱2015年底要求更换密码,至少包含一个大写字母,一个特殊符号如_, 一个数字,总计至少8个字符组成。

我愉快的改了,结果后来忘记了。

键盘的影响,我现在用的联想低端一体机,键盘非常迟钝。

系统的影响,不同版本的系统的响应似乎也不同

机器硬件的影响,我们如果拿5年前的机器现在运行,许多情况下连打开网页都困难。那么,输入的时候很难保证一致。

keepass的存在就是解决这类问题的。

我要发表看法

«-必填

«-必填,不公开

«-我信任你,不会填写广告链接