安全键盘：是保护还是阻碍？

在1Password团队最新一期的播客中，他们探讨了一系列关于网络安全的激进观点，比如通过邮件发送的登录链接是否可靠、密码是否会在2026年逐渐被淘汰，以及VPN究竟能否有效保障安全等话题。

如果让我提出一个关于网络安全的“暴论”，我会说：安全键盘并不能真正守护你的账户安全。这里所说的“安全键盘”，特指在中国大陆等一些国家或地区的手机银行应用中，普遍采用的那种自行开发的触摸屏软键盘，专门用于密码输入。

若要我评价过去十年中国大陆金融机构最令人费解的安全措施，它绝对能排进前三。

安全键盘的起源

让我们回溯到30年前，那时个人电脑尚未普及。早在1997年，招商银行就推出了面向个人用户的网上银行服务“一网通”。

这比大多数人想象的要早得多——距离中国发出第一封电子邮件“越过长城，走向世界”仅过去十年，而QQ当时还叫OICQ。当时个人电脑拥有率极低，通常只有“万元户”才可能拥有一台全家共享的电脑。然而即时通讯、网络游戏和网上银行等互联网应用的兴起，催生了对互联网接入的巨大需求，而基础设施和个人电脑的普及一时难以满足，于是“网吧”应运而生，提供公共上网服务。

如今我们都知道，在公共设备上登录个人账户需要格外小心，比如用完要退出登录，或使用浏览器的访客模式。但当时有一种简单却有效的攻击方式颇为流行：在键盘与电脑的PS/2接口之间插入一个硬件键盘记录器。

这种记录器会记录下所有键盘敲击，包括你输入的每一个字符和按键。为了隐蔽，它通常做得非常小，藏在机箱背后。

设想一下：你在网吧选了一台被安装了键盘记录器的电脑，登录QQ输入了账号和密码。等你离开后，攻击者取回记录器，从你的聊天记录中轻松找到账号密码，几天后你的QQ就被盗了。

面对大量用户投诉，腾讯等公司不得不提醒用户检查机箱背面是否有可疑装置，但收效甚微。这时有工程师灵机一动：键盘记录器只能记录硬件输入，却无法捕捉屏幕显示。于是他们设计了一种“软键盘”——在屏幕上显示键盘界面，通过鼠标点击输入字符，从而绕过硬件记录。此后，许多软件（包括QQ）都加入了这一功能。为了进一步防范偷拍，甚至建议混合使用物理键盘和软键盘输入密码。

电脑时代的“软键盘”正是如今手机银行“安全键盘”的前身。现在，手机银行应用在输入密码时会自动替换系统键盘为自研键盘。中国金融行业标准JR/T 0068-2020《网上银行系统信息安全通用规范》中对此有相关描述：

j) 客户端程序应提供客户输入支付敏感信息的即时防护功能，并对内存中的支付敏感信息进行保护，例如，采取逐字符加密、自定义软键盘、防范键盘窃听技术等措施。

以及6.2.4.3条：

a) 应使用即时加密等安全措施降低恶意软件窃取用户支付敏感信息的风险，使用软键盘方式输入密码时，应采取自定义键盘等措施防范密码被窃取。

另一份JR/T 0092—2019标准也提到需提供“替换原文”、“逐字加密”、“自定义键盘”等措施。这些标准确实对应了“安全键盘”的要求。但请注意：这些标准均为推荐性（JR/T中的T表示推荐），且只规定了最终表现，实现方式五花八门。

有些银行采用Custom Input Views实现接近原生的体验；有些则绘制假输入框，弹出自定义UI模拟键盘；而银联云闪付的做法最为诡异：看似支持粘贴，实际从1Password复制密码却无法生效，只能手动输入——可能它在逻辑层做了字符转换或映射。

但这些复杂操作，究竟是真实有效，还是徒增烦恼的“赛博安慰剂”？

“安全键盘”反而助长不安全

前面追溯历史是为了说明：安全键盘是特定时代的产物——当时公共电脑是主要上网渠道。但如今早已不是那个需要去网吧的年代。个人电脑普及，硬件被篡改的风险大大降低；安全启动、内存校验等硬件防护，以及用户安全意识的提升，都减少了漏洞被利用的机会。智能手机人手一部，要物理拦截触摸屏输入几乎不可能（除非对屏幕排线动手脚，但这几乎无法无痕实现）。像O.MG Cable那样的硬件攻击，也与安全键盘要防范的场景无关。

那么软件层面呢？

“豆包手机被网银封杀”事件表明，即使是系统级应用也无法轻易通过屏幕录制获取密码输入。iPhone在密码框会自动切换回系统键盘；部分国产安卓手机默认开启“密码键盘”，强制使用系统安全键盘，用户需深入设置才能关闭——这通常只有极客才会去做。

有人可能会想到通过陀螺仪检测手机倾角来推测输入，这确实有学术研究。但普通软键盘和银行自研键盘在这一点上并无区别：若真有恶意应用能突破重重限制监听陀螺仪，它同样能攻击任何软键盘。除非银行实现标准中提到的“安全随机键盘”——每次按键随机排列，才能有效对抗此类攻击。

但即便如此，手机银行就能高枕无忧了吗？

让我们看看密码复杂性策略的反例。过去很多网站要求密码必须包含大小写字母、数字、特殊字符，并达到一定长度。初衷是提高密码强度，但实际上却缩小了密码组合空间，反而方便了暴力破解。同时用户为了好记，往往会用P@$$w0rd1这样的弱密码，甚至在不同网站复用同一个密码。复杂的规则最终沦为形同虚设的障碍。

同理，打乱布局的“安全键盘”为了稍微提升输入效率，用户更倾向于使用简单易记的密码，而不是高熵随机密码。无论是复杂密码策略还是安全键盘，本质上都在与人的惰性作斗争。面对反人性的限制，人类往往会选择绕过，而非迎难而上。

更严重的是，一些安全键盘的实现从系统层面阻断了密码管理器的调用。如今macOS、iOS、Android都支持密码管理器直接填充密码，这既能防范物理和软件探测，也能抵御陀螺仪分析。但大多数安全键盘要么篡改了输入框，要么像云闪付那样暗中替换字符，导致用户只能手动输入。结果不仅可能被陀螺仪捕捉，还变相鼓励用户使用低熵密码——相比密码生成器生成的高强度密码，安全性反而下降。

方便从来不是安全的敌人，麻烦才是

早期网络安全界有句老话：安全与方便不可兼得。但经历了这么多，我越来越觉得这句话是谬论。

在密码管理器出现之前，这句话或许成立：人类确实不擅长记忆高熵密码，更不用说为上百个账户设置不同密码了。

所以我们发明了密码管理器。

从通行密钥的角度看，理想情况下它与密码管理器的用户体验并无二致：都由工具生成并存储凭据，使用时只需验证用户身份即可完成授权。底层差异仅在于非对称加密与对称加密的细微不同。只要用户习惯良好、密码管理器安全、操作系统接口可靠、传输链路加密、服务端哈希得当，高熵密码并不比通行密钥逊色多少。唯一的潜在优势在于，通行密钥的非对称机制和本地认证能更有效抵御钓鱼攻击——你不会一时冲动把密钥交给骗子。

但真正的制约力量从来不是标准，而是现实。密码时代，用户、链路、服务商三方都完美实践安全理想的情况如同“三日凌空”。即便是资深1Password用户，也挡不住无数网站仍用明文存储密码；服务商即使自身安全到位，也拦不住用户使用弱密码。而“安全键盘”这类措施，看似防范偷窥，实则助长了低熵密码的使用。

说到底，密码的问题不在于密码本身，而在于围绕它的一系列衍生问题：如何管理、如何加密、如何传输。密码只管认证，却把复杂问题甩给了用户。人的惰性让我们选择“差不多就行”，最终引发无数安全事故，密码却成了替罪羊。

从这个角度再看FIDO通行密钥，它试图将认证过程中最复杂的环节标准化、封装起来：嫌设密码麻烦？系统帮你生成；嫌哈希麻烦？开源库帮你处理；怕传输不安全？非对称加密来保障。FIDO希望降低所有人的心智负担，只要遵循标准，就能获得最安全流畅的体验。但想让所有网站一夜之间抛弃密码，显然不现实——毕竟，真正的制约力量是既成事实。

除了密码和密钥，许多技术在“更方便”的同时也变得更安全。例如手机NFC支付：Apple Pay只需双击侧键、刷脸、靠近POS机，背后却是安全芯片签发授权、银行用公钥验证的加密流程。这比实体卡更安全，也更便捷——出门可以不带卡，但手机不离身。

总之，方便从来不是安全的敌人，复杂才是；脱离人的参与的安全策略，注定失败。当设计者将用户体验排除在外时，再精妙的安全机制也会被用户绕开。密码如此，“安全键盘”如此，一切网络安全流程皆如此。

文中图片来自 Unsplash+、维基百科、Microsoft Research 官网。

原文链接：

https://sspai.com/post/104978?utm_source=wechat&utm_medium=social