为什么银行 App 的安全键盘并不能守护你的账户安全?

2026-01-03 | 来源: 少数派 | 转到微信 | 有0人参与评论 | 字体: 放大缩小 | 收藏 | 打印

聪明的你在这时候一定想到了通过陀螺仪检测手机摆动方向和幅度来倒推键盘输入，也的确有相关的学术论文。但是兄弟，普通手机输入法是软键盘，你自己实现的键盘难道就不是软键盘了吗？真的利用陀螺仪探测的话，人直接一个 AOE 打击，哪管你是哪来的软键盘神仙。除非你真的实现前文推荐标准中提到的「安全随机键盘」，即将所有按键全部打乱，而且是每次都打乱，这样即使真的有一个惊天地泣鬼神的恶意 app、本着你有这本事干点啥不好的精神、突破系统重重安全封锁、在后台持续监听陀螺仪而且不拖慢手机、不被系统杀掉……也很难真正探测用户输入的内容了。

但真做到这一步，手机银行 app 们就能高枕无忧了吗？

我们先来看看另一个与密码有关的策略的反例。在早先许多网站上，有一种十分复杂的密码策略。在注册或修改密码的时候，密码输入框附近会有一组检查列表，例如密码至少有一个小写字母、一个大写字母、一个数字、一个特殊符号、多少位……

看上去这个逻辑是说得通的：通过强制的复杂性要求来鼓励用户提高密码的随机性，进而令密码更难被猜测。但在密码世界，高随机性和高熵值（这才是安全的密码需要追求的）并不能直接划上等号。和 Enigma 机后期限制密钥组合反而减少了猜测难度一样，限制密码的格式等于是在「可能的密码组合」这个集合中，排除了「不符合的条件」。从数学上来说，减少的这批数量在总可能密码数量的占比中相当可观，对于使用暴力破解手段的攻击者而言，这无异是在减轻暴力破解的负担。

同时，额外的限制反而让用户设置的密码「坍缩」到人更容易记忆的密码组合，例如P@$$w0rd1。更危险的是，一些用户会刻意设置一个「能符合所有地方要求的密码」，来避免额外的密码记忆。如此一来，所谓的「复杂密码条件」的设置，完全变成了一个形同虚设的用户体验障碍。你可以在微软研究室的这篇博客文章中，看到更详细的解释。

一起触目惊心投毒案为什么坑你最狠的往往是熟人

为什么沉迷于吞并格陵兰?美媒挖川普"深层心计"

《亮剑》为什么说楚云飞之所以失败,是触发他的斩杀线?

打乱的「安全键盘」实际上也是一样的道理：为了在被打乱的、无规律的键盘上提升那么一点输入体验，用户更倾向于使用自己熟悉的密码，以换取一点点的效率和体验提升。说白了，不管是复杂密码策略，还是打乱的安全键盘，本质上是在与人的懒惰作斗争。常年和拖延症打交道的朋友们都能明白，在一些场合，面对一些反人性的、甚至是不必要的限制下，人类通常的行为是绕过它，而非采用与限制设置者预期中的方案来解决。很不幸密码的设置和输入就是这样一个场合。

更进一步地，一些「安全键盘」功能的实现从系统底层禁止了密码管理器的介入。简单来说，包括 macOS、iOS 和 Android 在内的系统，支持从密码管理器 app 中直接传输密码到用户名和密码输入框。这种系统层面的行为不仅可以有效避免物理和软件层面的直接探测，陀螺仪分析猜测法对它也是束手无策（毕竟不需要直接输入密码）。而大多数「安全键盘」要么魔改了键盘、输入框，要么就像云闪付那样替换用户实际输入字符，令用户最终只能手动输入密码。最终的结果就是，不仅陀螺仪探测法有机会探测到输入，在事实上采用「安全键盘」，实际上在鼓励用户使用更容易输入、记忆的低熵密码——相对于使用密码生成器生成的高熵密码而言，安全性反而是下降的。

▍方便从来不是安全的敌人，麻烦才是

早期的网络安全中流传着这样一句话：安全和方便总需要牺牲一方。但在网上冲浪这么长时间，我逐渐开始认为，这句所谓的「绝对真理」可能就是在放屁。

这句话出现在「密码管理器」之前的密码身上可能是正确的：人类是真的不擅长生成、记忆一个高熵的密码。别说高熵了——就连一百多个在线账户、每个用一个独立的密码这件事，人类也是极其不擅长的。