密码一二事杂谈

今天和同学吃饭讨论起金融和理睬，顺势就说到了关于密码一些事，如果当你手机掉了你的密码是否安全，你的支付宝账户是否存在容易被盗号的现象呢？

pc端如游戏除了最基本的数字英文密码外，还有类似安全令牌，邮箱绑定，手机动态密码验证，密保问题保护等等其实都是为了进一步保障用户安全，一旦帐号存在风险，可以通过除了密码外其他安全措施保证帐号安全，并且不是相互矛盾的。但是当移动端盛行时，以上方法似乎都起不到作用，而且移动端更偏向场景化和碎片化，如注册某一个帐号密码、使用购物结账、超市付款等，所以苹果在5s时期推出了指纹密码识别，那指纹识别真的就很安全了吗？所以我们就先分析下指纹识别的需求。

那我们从几个问题开始，Q：其实在之前没有指纹识别时候也挺好的，为什么现在需要指纹识别？ A：没有为什么，觉得指纹识别很安全。 Q：安全对你来说很重要吗？ A：对啊，我所有信息都在里面。 Q：那现在没有指纹识别，你会怎么做？ A：当然重新使用我的数字密码了啊。 Q：那数字密码和指纹密码你觉得有什么差别？  A：当然有啊，指纹密码只需要一个手指，而数字密码需要我每次都输入。 Q：为什么你希望只需要一个手指就可以了？  A：因为每次输入密码都很浪费时间，一个手指可以代替的事，我为什么还要是用数字密码。 Q：所以浪费时间对你而言重要吗？ A：恩，我可能因为买东西省下输入密码时间赶上车。

其实通过以上问答形式可以了解到指纹识别从最初认为的安全过度到其实是为了更方便和省时间，当然我不清楚苹果从5s开发指纹识别的目的是不是为了更加安全+方便，至于安全体现在哪我不清楚，因为我认为安全必定和复杂是有一定关联的。可能苹果是一家极致的用户体验公司，为了用户体验而设计，也可能是正好配合home建而设计。

并且指纹识别还存在以下安全问题。一：暴露性，密码本身是一件很私密和隐蔽的事物，但当指纹识别流行起来时，似乎看到了满大街的密码在路上跑。说不定哪天一个心理变态为了谋财，也不和你废话，二话不说砍下了你的手指。

二：指纹不可改变，前面说到pc端多渠道的密码保护措施，移动端的密码保护都有一个共同点就是随时改变和变更提示，但是指纹不行，你没有办法重新定义你的指纹，一旦有人盗取了你的指纹，解锁你的所有指纹加密的硬件和软件，导致的后果可能不堪设想。否则为什么这么多犯罪现场都是调去指纹抓获嫌疑犯呢。

三：指纹提取，前面都说了一些指纹特征，那除了第一点里面暴力砍手指方法是否还有其他获取指纹的方法呢？这个就可以百度一下，我相信只要认真研究肯定可以找出获取指纹方法并且很多 :)

所以指纹识别存在着一些问题，并且只是为了方便和快捷而设计考虑，真正安全性还是需要研究。一个有预谋且聪明的罪犯不仅偷了你的手机还获取了你的指纹，那手机支付宝安全性可能就大大的降低了。手机一旦被解锁，即使没有指纹识别也可以通过手机密码锁添加删除指纹，其中APP肯定也存在风险，因为现在很多帐号都是绑定手机，可以直接通过手机验证找回密码，或者直接通过手机动态登录。

所以我认为真正应该好好设置的是手机的开锁密码，大小写英文+数字+字符。其实我也准备好好研究一下如何为自己设计一套多样化、不会忘记、足够复杂的密码。到那时和大家分享分享。