三年前过年前我去鼓浪屿旅了个游,不幸丢失了我的iPhone5,考虑到过年的开支,买了台小米。当时弃苹果投Android的原因除了价格,还有那时读的一篇文章《FBI无法破解Android手势密码》。
FBI在法院文书中提到,法院专家用多种方法尝试解锁一台Samsung Exhibit II,未果。
文章后面的故事在此不表,重要的是,它给我植入了“手势密码极度安全”这个印象。后来指纹解锁逐渐成为主流,但最近一篇文章又指出,指纹解锁的安全性出现了新的问题。那么,退回手势密码是否是安全上策?
不一定!
人喜欢偷懒
挪威科技大学的Marte Løge在研究生毕业论文中对这个问题进行了研究,分析了4000多个ALP(手势密码),发现这些密码有着惊人的相似性。这些ALP中,44%从最左边的点开始,77%从四个角开始。另外人们并没有将9个点充分运用上,平均连接仅有5个点,意味着只有9000种可能性。用4个点的用户也不少,他们的密码仅有1624种可能。
人类是可预测的。
研究过程中,Løge让志愿者各自设置3个ALP:一个用于购物应用,一个用于银行应用,一个用于解锁手机。结果大部分人都选择使用最基本的4位解锁图案。出于某种原因8位密码的使用频率最低,过半数人选择使用4-5位的ALP。
人们对短密码的偏好很好理解,短的好记嘛。当然这点上还存在性别差异,女性似乎更喜欢“偷懒”,男性则更倾向于使用较长的密码。下图是男性与女性设置的密码长度对比:
除了长度,男性还更倾向于将密码设置得更复杂,例如2,3,1的组合,就比1,2,3,的组合复杂性更高,因为前者组合改变了数字的“方向”。在Løge的试验中,没有任何一位女性使用了这种“调头”的密码。
最好破解VS最难破解
文本密码中,“1234567”、“password”恐怕谁都用过,恰恰这些密码也是最容易破解的密码组合。人们在设置手势密码时同样遵循着这种“偷懒”的习惯,超过10%的受试者的起点都与配偶、小孩、宠物的名字相关。假如心怀不轨者掌握了相关信息,并猜到了第一个字,破解密码的难度就会大大降低。
小编推荐阅读