FBI 破不了的手势密码 真的那么安全吗？

　　三年前过年前我去鼓浪屿旅了个游，不幸丢失了我的iPhone5，考虑到过年的开支，买了台小米。当时弃苹果投Android的原因除了价格，还有那时读的一篇文章《FBI无法破解Android手势密码》。

　　FBI在法院文书中提到，法院专家用多种方法尝试解锁一台Samsung Exhibit II，未果。

　　文章后面的故事在此不表，重要的是，它给我植入了“手势密码极度安全”这个印象。后来指纹解锁逐渐成为主流，但陈昊最近一篇文章又指出，指纹解锁的安全性出现了新的问题。那么，退回手势密码是否是安全上策？

　　不一定！

　　人喜欢偷懒

　　挪威科技大学的MarteL?ge在研究生毕业论文中对这个问题进行了研究，分析了4000多个ALP（手势密码），发现这些密码有着惊人的相似性。这些ALP中，44%从最左边的点开始，77%从四个角开始。另外人们并没有将9个点充分运用上，平均连接仅有5个点，意味着只有9000种可能性。用4个点的用户也不少，他们的密码仅有1624种可能。

　　人类是可预测的。

　　研究过程中，L?ge让志愿者各自设置3个ALP：一个用于购物应用，一个用于银行应用，一个用于解锁手机。结果大部分人都选择使用最基本的4位解锁图案。出于某种原因8位密码的使用频率最低，过半数人选择使用4-5位的ALP。

　　人们对短密码的偏好很好理解，短的好记嘛。当然这点上还存在性别差异，女性似乎更喜欢“偷懒”，男性则更倾向于使用较长的密码。下图是男性与女性设置的密码长度对比：

　　除了长度，男性还更倾向于将密码设置得更复杂，例如2，3，1的组合，就比1，2，3，的组合复杂性更高，因为前者组合改变了数字的“方向”。在L?ge的试验中，没有任何一位女性使用了这种“调头”的密码。

　　最好破解VS最难破解

　　文本密码中，“1234567”、“password”恐怕谁都用过，恰恰这些密码也是最容易破解的密码组合。人们在设置手势密码时同样遵循着这种“偷懒”的习惯，超过10%的受试者的起点都与配偶、小孩、宠物的名字相关。假如心怀不轨者掌握了相关信息，并猜到了第一个字，破解密码的难度就会大大降低。

　　设密码或许是最反人性的一项工作。复杂性多半会难倒自己，不复杂的话又有安全隐患。其实最复杂的密码就是随机密码，“但人类大脑先天注定无法产生随机内容”（语自大学的统计学教授）。

　　回到文初提到的“FBI无法破解Android手势密码”，而L?ge又说手势密码很脆弱，歧视也不完全矛盾。不清楚当时FBI的破解手段，但光谈密码机制，AndroidALP本身是很安全的，至少比纯数字的密码要安全的多。L?ge的研究是从心理学的角度分析人类使用密码的规律，人性，总归是有破绽的。

　　一会去问问公司附近停车场保安儿子家养的狗是哪天生的。