安全键盘：从防护到安全的绊脚石

1Password 开发团队在最新播客中讨论了网络安全领域的热点话题，如邮箱登录链接的安全性、口令的未来，以及 VPN 的保护作用等。如果让我提出一个网络安全方面的观点，那就是“安全键盘并不能完全保护你的账户安全”。

在中国大陆，金融机构的某些网络安全操作堪称抽象，而安全键盘的使用绝对能排进前三。那么，安全键盘是如何诞生的呢？

安全键盘的起源

回溯到30年前，个人电脑尚未普及，1997年招商银行推出了“一网通”网上银行服务。那时，网吧是公共互联网接入的主要场所。然而，一种名为键盘记录器的攻击手段颇为流行，它能记录键盘输入，对用户账户安全构成威胁。

为了应对这种威胁，工程师们设计了软键盘，即软件实现的键盘，以绕过键盘记录器的限制。这一设计逐渐演变为今天手机银行 app 中普遍采用的“安全键盘”。

尽管安全键盘的初衷是为了提高安全性，但其实际效果却值得商榷。

“安全键盘”的局限性

随着个人电脑和智能手机的普及，硬件被篡改的风险大大降低。此外，屏幕录制等攻击手段也被有效遏制。然而，安全键盘的局限性开始显现。

首先，用户更倾向于使用熟悉的密码以换取输入效率的提升，这反而降低了密码的随机性和安全性。其次，一些“安全键盘”功能禁止密码管理器的介入，使得用户无法方便地管理和使用密码。

从各种意义上来说，方便从来都不是安全的敌人，复杂才是；或者说，脱离人参与的安全策略，从来都不是一个好的安全策略。当人的体验和主观能动性被安全流程设计排除在外的时候，这个安全策略注定会失败。

密码管理器的优势

密码管理器通过生成和存储高熵密码，有效解决了密码管理和使用的问题。与通行密钥相比，密码管理器在用户体验上并无明显差别，且安全性更高。

FIDO（Fast Identity Online）通过一系列标准设计，封装了复杂的认证流程，降低了用户的心智负担。然而，想要一夜之间让所有网站都使用通行密钥仍显异想天开。

总之，密码和安全键盘等问题并非密码本身的问题，而是围绕其延伸出的一系列管理、加密和传输问题。真正的制约力量并非标准规范，而是既成事实和用户习惯。

文中图片来自 Unsplash+、维基百科、Microsoft Research 官网。

原文链接：

https://sspai.com/post/104978?utm_source=wechat&utm_medium=social