密码疲劳

上个月的最后一天，人民银行网站公布了《非银行支付机构网络支付业务管理办法（征求意见稿）》。

这个文件立刻引起了全国的关注，但是，第28条却少有人讨论。

    第二十八条 ...... 支付机构采用不足两类要素进行验证的交易，单个客户所有支付账户单日累计金额应不超过1000元，且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。

这一条看上去有点复杂，但是实际很简单。它就是说，如果支付时只有密码认证（即只输入密码就能付款），那么每天最多只能支付1000元，其他就要走银行渠道。如果能采用更安全的认证方式，那么支付额度就可以提高。

看出了潜台词吗？

嗯，央行觉得密码不安全，需要其他方式确认"你就是你"。第28条用了一个词"不足两类要素进行验证的交易"，这是指什么呢？

原来，密码学认为，有三类要素可以确认"你就是你"。

    （1）你知道的要素，比如密码、暗号等等。这件事只有你知道，别人不知道。
    （2）你拥有的要素，一把钥匙、一块手表、一件信物等等。这件东西只有你有，别人没有。
    （3）你的生理要素，指纹、面部特征、DNA等等。这些生理特征，每个人都不一样。

上面的这三类要素，任何单独的一个都可以确认"你就是你"，但不够安全。如果能够两个要素联合确认，那么安全系数就大大提高了。

密码属于第一类要素，央行的意思就是说，支付的时候，还应该再提供另一类要素，证明你的身份。比如，很多银行会向用户提供U盾，要求使用时插入，这属于第二类要素，这个U盾只有你有，别人没有。再比如，新开业的网上银行，很可能要求用户使用摄像头"刷脸"，与身份证比对，这属于第三类要素，你的脸来证明"你就是你"。

听上去很美，不是吗？那么严密的措施、那么多高科技手段，保证你的资金不会被盗用，现在你可以高深无忧地使用互联网了，但是......但是，你不觉得这很累吗？

说实话，单单使用密码，就已经很累了。2002年，英国有一项研究发现，重度的互联网用户平均需要记住21个密码。十多年过去了，现在你需要记住多少个网站的密码，有没有100个？何况，现在的密码要求越来越复杂，长度和类型都有严格规定。

不开玩笑，很多人连自己的密码都记不住。举例来说，大家都喜欢用苹果公司的产品，但是使用它的产品，你需要一个用户名 Apple ID和对应的密码。苹果公司对这个密码，有严格规定。

    "Apple 政策要求您将高安全性密码用于 Apple ID。密码必须至少含有 8 个字符，其中不得包含 3 个以上连续相同的字符，并且必须包含一个数字、一个大写字母和一个小写字母。您还可以添加其他字符和标点符号，以提高密码的安全性。（摘自苹果官方网站）"

我很好奇，如果三个月不用，会不会一半的人想不起这个密码？

下面是某网站的密码校验逻辑，只要其中有一条不满足，密码就通不过。

总之，单单使用密码，就已经让人觉得很累了。现在，又加上多要素联合认证，真是雪上加霜。

心理学有一个名词，叫做"密码疲劳"（password fatigue），指某些用户一遇到输入密码的场合，就感到厌倦和疲劳。

下面是"密码疲劳"的一些典型发作场合。

      * 要求创建一个新的密码；
      * 创建的密码太简单，不符合网站要求，要求重新创建；
      * 创建密码的时候，要求输入两次；
      * 明明已经登陆，但是进入重要功能时，要求再输一遍密码；
      * 创建密码的时候，不显示或者显示占位符，根本看不清自己输入的是什么。

随着对密码的要求越来越严格，我觉得，大多数人最终可能都是"密码疲劳"的患者。生活中让人疲劳的事情已经很多了：工作、物价、水、空气、交通......现在居然连密码，都让人感到疲劳。

安全和简单，是一对矛盾。安全系数越高的东西，就越不简单；而越简单的东西，可能就越不安全。但是，人类偏偏是一种不那么精确和严格的生物，还有点懒惰......到底有没有办法，能够做到既安全又简单，让人用着不累呢？

欧美的信用卡是没有密码的。一刷就能用，特别方便。Amazon甚至做到了"一键购买"，只要你提交了信用卡信息，按一下鼠标，就支付成功，完全没有其他操作。这说明，密码不是必须的，无密码支付是可以做到的，但这必须基于健全的信用制度。中国能实现吗，我觉得不乐观。

退一步说，能不能找到一种不那么强迫的方法，取代密码，轻轻松松就通过认证？一家叫做BehavioSec的瑞典公司，正在进行的生物行为计量特征的实验，也许值得介绍。

这家公司发现，每个人打字的特征是不一样的。

      * 某些键你会按得特别快，另一些键特别慢；
      * 从一个键跳到另一个键的时间间隔也有差异；
      * 每个人还有自己打得最熟练的单词。

总之，单单是打字这件事，就可以观察到几百个指标。通过这些指标，就可以识别用户。需要登陆的时候，你打字输入一段话，网站就能知道你是谁了。

这种方法要比强行记忆密码，轻松多了，应该不那么容易让人疲劳。它已经有了原型产品，感兴趣的读者可以访问该公司的官网Behaviosec.com，或者安装Chrome插件体验一下。

现代哲学认为，人有强烈意愿，成为他自己。但是，技术告诉你，要真正把你和其他人区分开来，其实是非常难的。那些具体的细节，想想都觉得疲劳。

[注] 本文的删节版发表在2015年8月17日的《财新周刊》。