手机设置密码

收藏⼿机⾥的密码这样设置才安全

说起⼿机密码，你看过各种因为密码被盗，财务损失严重的新闻。想必你肯定有疑问：什么样的密码才能够保证安全

呢？这个问题众说纷纭，有⼈说要区分⼤⼩写，有⼈说字母数字都要有，有⼈说要包含特殊字符……

「得到」作者卓克，综合现今密码学的研究，得出结论：安全性最强的密码，最⼤的特点就是“够长”。

以下是具体的解读，欢迎你阅读并且把它分享给你的亲朋好友。

1

我们⼿机上的密码⼤都很短，只有4-6位。⽽我们在电脑上注册⽤户时，经常看到提⽰说“请设置密码长度超过8位”，甚

⾄有时候要求包含数字、字母和字符。

把这两种密码对⽐看，⼈们⾃然会担⼼⾃⼰⼿机密码不安全。因为很短，只有4位或6位，进⽽也会担⼼银⾏卡密码，因

为它也很短。

其实，安全性不是这样评估的。具体来说，银⾏有⼀套⾃⼰的加密系统。

⽐如，我的⽹银密码是123456，这串密码在传送给银⾏做核对的时候，信息并不是以123456这样的原⽂到达的，⽽是

先经过安装在⼿机或者电脑⾥的⽹银软件，做⼀次RSA加密。加密后，密码就是标准格式的⼀长串字符了。银⾏那边收

到密⽂后，也是通过⼀些算法对密⽂做核对，然后判断密码是不是正确。

整个过程，根本就没有原⽂出现。对于只截获了密⽂的⿊客来说，你的⽹银⽀付或者银⾏卡⽀付，到底是6位密码还是

12位密码其实没有关系，它们没有安全性的强弱之分。

可是有⼈会问：那为什么规定这些密码⼀定是6位呢？其实这更多是出于使⽤⽅便的⾓度考虑的。

有⼀系列科学研究结论显⽰，⼈在⽆压⼒的时候，轻松记住⼀串数字的长度，⼤约就是5-7位，所以就取这中间值6位，

当作密码的长度。

你可能会说，毕竟只有6位，可能性只有100万种，是不是坏⼈只要暴⼒破解就能把它攻破呢？

是的。但银⾏早就想到了这⼀点，所以⼜增加了⼀些物理上的限制。⽐如说，连续5次密码输⼊错误，银⾏卡就会被锁

住，只能⽤主⼈的⾝份证去柜台解锁。所以你看，虽然可能性少得可怜，但暴⼒破解是不可能的。

现在我们⽤的⼀切带有⽀付功能的软件，⽐如⽀付宝、微信，它在⽀付环节也都是做加密的，⽽且移动端⼀般⽤的都是

RSA加密，安全性⾮常⾼。

即便在不安全的、免费的Wi-Fi环境下，哪怕有⿊客获取了我们⽀付密码的这段信息，他也没办法。因为这段信息，被

⽀付软件⾃带的RSA加密技术保护了，想破解依然是难上加难。

当然，如果真的⽤⼿机⽀付的时候，最好还是在有密码的Wi-Fi下进⾏，或者切换到4G/5G的电信⽹⾥，⽀付才更安全。

2

你在⼿机上输⼊数字或者图形密码时，理论上是安全的。因为和解锁相关的动作、跟密码有关的数据，全都被RSA加密

了。

但如果要确保⾜够安全，你得保证输⼊密码时没被任何⼈看到。⽽这⼀点不是每个⼈都能做到的，毕竟这样的操作太频

繁了。

像9个点位的图形解锁，虽然能提供40万种的图案可能性，但有经验的贼离很远就能通过你的动作趋势，判断出你划屏

的动作。

甚⾄在2015年，还有⿊客做出了⼀套划屏动作识别系统。可以在隔2.5⽶、⾓度很偏的情况下，5次之内猜对图形解锁的

甚⾄在2015年，还有⿊客做出了⼀套划屏动作识别系统。可以在隔2.5⽶、⾓度很偏的情况下，5次之内猜对图形解锁的

图案。

就算⿊客没能掌握这些识别技能，他们只是试⼀试那些划屏常⽤的动作，像⼝字型、Z字型、C字型等，多试⼀试，也

⾄少有1/3的⼿机的图形解锁是可以被破解的。

同理，数字按键解锁也⼀样存在这个问题。要不就是容易被⼈看到密码，要不就是设置得太简单，容易被⼈试出来。所

以这⼀切，都属于⼈们操作中出现的漏洞。

那该怎么解决呢？可以改⽤指纹、声纹、⾯部识别来解锁或者⽀付。

现在的⼿机中，⽤来⽐对⽣物特征的这部分数据，是单独存储在⼀个区域的。⾸先，这个区域不能被轻易读到；其次，

存储到⾥⾯以后，也是加密的；再次，存储的加密后的这些⽣物特征，并不是完整的特征数据。

以指纹识别来说，那个特殊存储块⾥存储的指纹信息，不是全部指纹的样⼦，⽽只是全部指纹信息的⼀部分，⽐如说

10%。那到底是存了这跟⼿指指纹的哪10%呢？它其实是随机的。

这10%的特征，只⽤来核对跟当前按过来的指纹是否吻合。所以即便有超级⽜的⿊客，把这部分⽣物特征的数据想办法

读到了，也解密了，也依然不能还原⼀个⼈的指纹。

声纹和⾯部识别，也都是基于同⼀种原理。这样，安全性就更⾼了。

3

但对于⼿机密码，还有⼀个⽭盾的地⽅：既然4-6位都安全，为什么⽹站注册时却让我们设置更长的密码，有的时候还

要求有数字、字母，甚⾄是⼤⼩写的组合呢？

因为并不是所有⽤户名、密码的信息，都像⼿机⽀付密码那样⽤RSA加密。也有不少⽹站为了节省成本，使⽤的是简单

的加密法。

⿊客拿到了这些包含⽤户名和密码的信息后，会⽤设计得⽐较好的字典暴⼒破解。也就是凭借计算机的算⼒，尝试每种

可能性，碰巧破解了就是运⽓。这个动作在⿊客⼝中，叫“撞库”。

字典可以说是每个⿊客必备的⼯具，它⾥⾯按优先级记录着可能的密码组合。它的编写质量，关乎撞库的成功率，所以

⾼级⿊客的字典都⾃⼰精⼼设计过。凡是⾼频密码，都会⾸先撞。

⽹上有⼀些从⿊客历年破解的结果中，统计出了最常被破解的密码——它们最⼤的特征就是简单的数字组合，或者是键

盘上相邻的字母挨着敲出来的。

这些密码，也⼀定会在暴⼒破解的前⼏秒⾥，最先被破解出来。

△历年最容易被破解的密码

可能你会问：数字加⼤⼩写的字母，再加⼀些特殊符号，会不会更安全呢？

答案可能会出乎你意料，那就是——不会。

因为对密码安全起最⼤作⽤的，其实是密码的长度。⽐如说，⼀个16位长度，只由数字和字母组成的密码，安全性就远

⽐⼀个只有8位长度，由字母、数字、符号组成的密码更⾼。

有些⼈⽤的符号就是常⽤的代替法，⽐如说⽤@代替a，⽤5代替s，⽤！代替i，他们以为⽤这种⽅式，就会安全很多。

但其实在⿊客的字典⾥，这些常⽤符号有规律的替换思路，早就是典型案例了，反⽽会被⾸先破解。

在⽹站使⽤的加密⽅法⽐较弱的时候，保存⽤户ID和密码的⽂件⼀旦被截获，这些密⽂迟早会被破译，就看⿊客愿意花

多少时间、多少成本来破解了。

多少时间、多少成本来破解了。

举⼀个实例：在2013年的时候，科技⽹站ArsTechnica邀请了3名⿊客，当场破解了已经做了哈希算法(hash)加密的⽤

户数据。这些数据⼀共包含1.65万组⽤户名和密码。⽹站的副主编也会破解，⼀起参与挑战。

结果副主编破解了其中47%的密码。另外3名⿊客⾥硬件算⼒最差、字典最⼩的那个，中间还接受了⼀次采访，在1个⼩

时⾥破解了62%⽤户的密码。当时演⽰中⽔准最好的那个，⽤的⼯具主要是⼀块3000块钱的显卡，1⼩时破解了其中

82%的密码。时间如果给得⾜够充⾜，第三位⿊客在20⼩时⾥，能破解其中90%的密码。

从中你就能总结出，有多少⼈在设置密码时是缺少⾼级技巧的。

4

那什么是⾼级技巧呢？我们就需要关注那剩下10%没有被破解的密码是什么样的。这些才是在⽹站加密强度不⾼时，最

扛破解、最安全的。

结果发现，它们有⼀个共有特征，那就是——长。这也提醒了我们，最好把密码改成⽹站允许的最⼤长度。

在这个例⼦中，⿊客不是攻陷了加密法，⽽是充分利⽤了⼈们设置密码时的松懈。

按说密码应该⾜够长、⾜够⽆规律，但那会让⼈记不住。所以，绝⼤部分密码都会和⽣⽇、电话、门牌号、姓名、年份

挂钩。⿊客编制字典去撞库时，也就先⽤这些规律去试，就会成功⼀⼤⽚。

⽽且⼈们的松懈还不⽌于此，⼀个⼈在淘宝⽤的⽤户名和密码，很可能也同时⽤在微博、京东上。⼀个⼈常常只有3-4

套⽤户名和密码，简单拼凑⼀下，就把它们⽤在⼗多个App或⽹站⾥。因为这样好记嘛。

但⼀旦其中⼀个失守，⿊客就会把可能的组合在各个⽹站都试⼀遍，所以在其他⽹站的账户也难以幸免。

说到底，这还是我们的操作上的漏洞，给⿊客⼤⼤减少了破解⼯作量。但现实情况是，我们每个⼈都有很多的⽹站和

App要登陆。

虽然最稳妥的⽅式，是每⼀个都⽤独⽴的⽤户名和密码，这些密码不但要够长，还都要毫⽆规则。此外最好每半年全部

更新⼀次，就极为安全了。但这要求太⾼了，⼈根本记不住，那还能怎么办？推荐给你两种⽅法。

第⼀种，是利⽤⼯具。这种⼯具在⽹上可以下载，就是⼀些密码管理类的软件。软件可以保存所有密码，⽽且软件本⾝

加密等级很⾼，也能按个⼈需求⾃动⽣成新密码。这样定期统⼀更换⾼质量密码的需求，就不难解决了。

不过我想，即便有这种软件，也依然是极少数⼈愿意使⽤。因为这就相当于让你培养出⼀个全新的习惯。

但是，我们还有第⼆种折中的⽅案——你可以保持当前的密码和⽤户名不⼤变，把它们作为新密码的主体部分，然后加

⼀些前缀和后缀。

⽐如，你要更新京东的密码，京东在你脑中是个什么印象呢？可能是“快”，那就在你从前的京东⽤户名和密码前⾯，加

上“快”的拼⾳。密码长度就增加了，也是京东独有的，⽽且你还不容易忘。

其他软件也可以这么操作。这样多套完全不同的⽤户名和密码，就修改出来了。