上个月的最后一天,人民银行网站公布了《非银行支付机构网络支付业务管理办法(征求意见稿)》。
这个文件立刻引起了全国的关注,但是,第28条却少有人讨论。
第二十八条 ...... 支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。
这一条看上去有点复杂,但是实际很简单。它就是说,如果支付时只有密码认证(即只输入密码就能付款),那么每天最多只能支付1000元,其他就要走银行渠道。如果能采用更安全的认证方式,那么支付额度就可以提高。
看出了潜台词吗?
嗯,央行觉得密码不安全,需要其他方式确认"你就是你"。第28条用了一个词"不足两类要素进行验证的交易",这是指什么呢?
原来,密码学认为,有三类要素可以确认"你就是你"。
(1)你知道的要素,比如密码、暗号等等。这件事只有你知道,别人不知道。
(2)你拥有的要素,一把钥匙、一块手表、一件信物等等。这件东西只有你有,别人没有。
(3)你的生理要素,指纹、面部特征、DNA等等。这些生理特征,每个人都不一样。
上面的这三类要素,任何单独的一个都可以确认"你就是你",但不够安全。如果能够两个要素联合确认,那么安全系数就大大提高了。
密码属于第一类要素,央行的意思就是说,支付的时候,还应该再提供另一类要素,证明你的身份。比如,很多银行会向用户提供U盾,要求使用时插入,这属于第二类要素,这个U盾只有你有,别人没有。再比如,新开业的网上银行,很可能要求用户使用摄像头"刷脸",与身份证比对,这属于第三类要素,你的脸来证明"你就是你"。
听上去很美,不是吗?那么严密的措施、那么多高科技手段,保证你的资金不会被盗用,现在你可以高深无忧地使用互联网了,但是......但是,你不觉得这很累吗?
说实话,单单使用密码,就已经很累了。2002年,英国有一项研究发现,重度的互联网用户平均需要记住21个密码。十多年过去了,现在你需要记住多少个网站的密码,有没有100个?何况,现在的密码要求越来越复杂,长度和类型都有严格规定。
不开玩笑,很多人连自己的密码都记不住。举例来说,大家都喜欢用苹果公司的产品,但是使用它的产品,你需要一个用户名 Apple ID和对应的密码。苹果公司对这个密码,有严格规定。
"Apple 政策要求您将高安全性密码用于 Apple ID。密码必须至少含有 8 个字符,其中不得包含 3 个以上连续相同的字符,并且必须包含一个数字、一个大写字母和一个小写字母。您还可以添加其他字符和标点符号,以提高密码的安全性。(摘自苹果官方网站)"
我很好奇,如果三个月不用,会不会一半的人想不起这个密码?
下面是某网站的密码校验逻辑,只要其中有一条不满足,密码就通不过。
总之,单单使用密码,就已经让人觉得很累了。现在,又加上多要素联合认证,真是雪上加霜。
心理学有一个名词,叫做"密码疲劳"(password fatigue),指某些用户一遇到输入密码的场合,就感到厌倦和疲劳。
下面是"密码疲劳"的一些典型发作场合。
- 要求创建一个新的密码;
- 创建的密码太简单,不符合网站要求,要求重新创建;
- 创建密码的时候,要求输入两次;
- 明明已经登陆,但是进入重要功能时,要求再输一遍密码;
- 创建密码的时候,不显示或者显示占位符,根本看不清自己输入的是什么。
随着对密码的要求越来越严格,我觉得,大多数人最终可能都是"密码疲劳"的患者。生活中让人疲劳的事情已经很多了:工作、物价、水、空气、交通......现在居然连密码,都让人感到疲劳。
安全和简单,是一对矛盾。安全系数越高的东西,就越不简单;而越简单的东西,可能就越不安全。但是,人类偏偏是一种不那么精确和严格的生物,还有点懒惰......到底有没有办法,能够做到既安全又简单,让人用着不累呢?
欧美的信用卡是没有密码的。一刷就能用,特别方便。Amazon甚至做到了"一键购买",只要你提交了信用卡信息,按一下鼠标,就支付成功,完全没有其他操作。这说明,密码不是必须的,无密码支付是可以做到的,但这必须基于健全的信用制度。中国能实现吗,我觉得不乐观。
退一步说,能不能找到一种不那么强迫的方法,取代密码,轻轻松松就通过认证?一家叫做BehavioSec的瑞典公司,正在进行的生物行为计量特征的实验,也许值得介绍。
这家公司发现,每个人打字的特征是不一样的。
- 某些键你会按得特别快,另一些键特别慢;
- 从一个键跳到另一个键的时间间隔也有差异;
- 每个人还有自己打得最熟练的单词。
总之,单单是打字这件事,就可以观察到几百个指标。通过这些指标,就可以识别用户。需要登陆的时候,你打字输入一段话,网站就能知道你是谁了。
这种方法要比强行记忆密码,轻松多了,应该不那么容易让人疲劳。它已经有了原型产品,感兴趣的读者可以访问该公司的官网Behaviosec.com,或者安装Chrome插件体验一下。
现代哲学认为,人有强烈意愿,成为他自己。但是,技术告诉你,要真正把你和其他人区分开来,其实是非常难的。那些具体的细节,想想都觉得疲劳。
[注] 本文的删节版发表在2015年8月17日的《财新周刊》。
(完)
小胡子哥 说:
前排占座。
2015年8月18日 13:34 | # | 引用
meepo 说:
曾经想做一个chrome插件实现一键自动输入密码(仅限web页面),已经做了,自己在用。但是调研发现,大多用户很难信任这个插件,一旦被攻击泄露,后果也不堪设想。
2015年8月18日 13:49 | # | 引用
kergee 说:
干嘛不用1Password等软件
2015年8月18日 13:54 | # | 引用
drunkevil 说:
这些东西还是比较相信那些比较知名的软件。
2015年8月18日 14:01 | # | 引用
selectlove 说:
密码都放加密软件里了
2015年8月18日 14:09 | # | 引用
SpicyCat 说:
不是有Lastpass吗?
2015年8月18日 14:17 | # | 引用
兔子 说:
如果要打一段话那么多,我宁愿输密码……再说万一我车祸了受伤了意外身亡了,那段密码岂不是永远没人打得出……
2015年8月18日 14:27 | # | 引用
Sloth 说:
1Password在召唤你~
价格贵,但是确实实用。只要记住一个超长的密码(master key)就行了,其他密码全部随机生成,要多长有多长。可以多设备间同步。在IOS上面,还支持指纹认证。
2015年8月18日 14:39 | # | 引用
沈书毅 说:
授权登录可以解决一些问题吧
2015年8月18日 15:13 | # | 引用
Blaok 说:
公私钥认证呢?私钥写入身份信息,公钥在官方权威公布,实名和认证都可以保证了。如果有妄想症还可以不用RSA,采用可以抵抗量子计算的算法。。
我觉得通过模式来识别的问题在于,一旦模式泄漏,很容易模仿,特别是以技术手段模仿,而且容易在极端心理状态下失效,美剧《尼基塔》里就有类似的桥段。
2015年8月18日 22:58 | # | 引用
Brant 说:
生物要素的应用目前太少了,大多局限于指纹。而前两个要素的不确定性和不稳定性又非常大,不知道密码与安全的未来将会如何。
2015年8月18日 23:44 | # | 引用
birdboss 说:
使用lastpass的默默飘过。。。
2015年8月19日 07:40 | # | 引用
catwizard 说:
coursera已经部分采用输入法确认学习者了。
2015年8月19日 09:14 | # | 引用
chshouyu 说:
1password,毫无疑问
2015年8月19日 10:51 | # | 引用
takizaw 说:
2015年8月19日 13:21 | # | 引用
takizaw 说:
2015年8月19日 13:52 | # | 引用
卢松松博客 说:
来过了,学到了。
2015年8月19日 14:58 | # | 引用
jeffo 说:
银行的想法很简单:扼杀竞品的核心竞争力 -- 便捷
2015年8月21日 18:10 | # | 引用
Loyalsoldier 说:
网站的用户体验有点差劲……
想按照时间分类看到所有文章,但是每次点进“更多文章”,头上总有一个奇奇怪怪的“首推文章”,然后下面仅仅只有最新的 20 篇……
能按照常规博客那样,按时间给所有文章排序吗?不喜欢博客右边的按时间分类和标签分类。
2015年8月23日 14:39 | # | 引用
极品小猫 说:
要是能爆破,只要数据值得,打出来是时间问题
2015年8月24日 01:36 | # | 引用
坏孩子 说:
想问下博主,你博客怎么弄的英文啊?
2015年8月24日 12:16 | # | 引用
潘错 说:
互联网是现实社会的反映,现实中信用缺失的厉害,互联网中自然要做好防备。
2015年8月24日 16:27 | # | 引用
wddoer 说:
验证再安全都没用,还是想办法规范保险市场吧~
2015年8月25日 16:20 | # | 引用
唐朝 说:
昨天买个东西输了五个验证码
2015年8月26日 23:22 | # | 引用
Dane 说:
银行为了控制资金流想出的下策,没什么稀奇的。
2015年9月 1日 10:47 | # | 引用
山下 说:
每次要求改密码都很头痛
2015年9月 3日 14:14 | # | 引用
garyliu 说:
想当年用网银的时候,忘记过两次U盾密码,共花了60块。后来我就直接用快捷支付了,现在已经没有网银了。如今第三方支付没出安全问题实行这个政32132策只是银行犯傻以为自己生意被支付宝抢走了。我相信这个政3213策会极大的影响中国网络成交量。
2015年9月 4日 16:16 | # | 引用
christopher 说:
下了那个插件,用了几周,没看到有什么效果啊?
2015年9月 8日 16:57 | # | 引用
j 说:
靠输入字符非常不稳定。使用一个新键盘,新鼠标、进行了打字训练、感冒发烧身体虚弱等等都会发生变化。
2015年9月12日 16:05 | # | 引用
leegang 说:
国内有团队在做了 洋葱 https://www.yangcong.com/
2015年9月16日 15:44 | # | 引用
dispensable 说:
论open id的没落
2015年9月17日 11:10 | # | 引用
Cu635 说:
说道点子上了。
要是真的为用户考虑的话,直接规定用户资金丢失支付机构现行赔付(包括银行和非银行),之后支付机构再去追偿就行了呗。
2015年10月 9日 18:02 | # | 引用
Kisnows 说:
因为同样感觉密码太多记不住,就用了lasspass,除了重要密码,其它全用lasspass,顿时轻松了许多。
2015年10月12日 19:36 | # | 引用
shijunti19 说:
想太多了!只需要电脑手机和服务器框架里实现一个账号通讯就行!
例如电脑上和浏览器会建立连接,第一次开发www.baidu.com,电脑会发送加密信息到www.baidu.com/account上,然后baidu.com进行注册登录等等!
2015年10月22日 12:54 | # | 引用
Brother Sharp 说:
密码泄漏事件的频繁发生让人不敢用相同的密码;
密码撞库、穷举爆破事件让人不敢用弱密码。
2015年11月 4日 15:22 | # | 引用
xgqfrms 说:
Two-factor Authentication (2FA)
使用方式3种:
1.Generating a code through a TOTP application
2.Using a FIDO U2F security key
3.Receiving a text message
https://help.github.com/articles/providing-your-2fa-authentication-code/
2015年11月13日 00:50 | # | 引用
Viator 说:
网易企业邮箱2015年底要求更换密码,至少包含一个大写字母,一个特殊符号如_, 一个数字,总计至少8个字符组成。
我愉快的改了,结果后来忘记了。
2016年1月12日 16:55 | # | 引用
露一手 说:
键盘的影响,我现在用的联想低端一体机,键盘非常迟钝。
系统的影响,不同版本的系统的响应似乎也不同
机器硬件的影响,我们如果拿5年前的机器现在运行,许多情况下连打开网页都困难。那么,输入的时候很难保证一致。
2016年1月18日 17:01 | # | 引用
王老吉 说:
keepass的存在就是解决这类问题的。
2016年1月18日 20:18 | # | 引用