进入移动互联网时代,央行出台相关标准为安全键盘的普及提供了依据。
2020年2月,中国人民银行发布修订后的《网上银行系统信息安全通用规范》(JR/T 0068—2020),明确要求客户端程序需提供自定义软键盘等措施,防范支付敏感信息被窃取。
另一项JR/T 0092—2019标准也规定,金融App密码输入需采取“自定义键盘”“逐字加密”等防护手段。
需注意的是,这些标准均为“推荐性标准”(JR/T中“T”即代表推荐),并非强制执行,这导致各银行的实现方式五花八门。
从实际应用来看,安全键盘的防护效果早已跟不上时代。
360互联网安全中心2014年发布的移动支付安全报告显示,当时16款主流银行客户端中,仅7款使用安全系数较高的自绘随机键盘,2款仍采用易被木马记录的系统默认键盘。
而如今,即便多数银行采用了自定义键盘,也难以应对当前的安全威胁。
硬件层面,手机作为个人专属设备,被篡改触摸排线、植入物理记录设备的难度极高,且痕迹易被发现,传统键盘记录器已无生存空间.
软件层面,主流手机系统对密码输入框有严格防护,iOS会强制换回系统内置键盘,国产安卓手机默认开启“密码键盘”功能,第三方程序难以监听输入内容。
更关键的是,安全键盘的设计存在“反人性缺陷”,反而降低了密码安全性。
部分银行的安全键盘为提升防护效果,采用“随机按键布局”,但这会大幅增加输入难度。
为兼顾效率,用户往往会选择简单易记的密码,如“123456”“P@$w0rd”这类低熵密码,反而让暴力破解更易成功。
更糟的是,多数安全键盘禁止密码管理器介入,用户无法使用密码生成器生成的高熵密码,只能手动输入简单密码。
例如银联云闪付App,即便输入框显示“粘贴”按钮,从密码管理器复制的密码粘贴后仍会提示错误,强制用户使用安全键盘手动输入。
值得警惕的是,替代安全键盘的更优方案已在行业内逐步落地,但推广缓慢。
通行密钥(Passkey)作为密码的替代技术,通过非对称加密和生物识别验证,无需手动输入即可完成授权,能有效规避输入过程中的窃取风险。
但从实际应用来看,仍存在兼容性问题,如UBank用户反馈,在Bitwarden密码管理器的原生版本中,无法通过通行密钥正常登录。
相比之下,手机NFC支付的普及已证明,安全与便捷可以兼顾,Apple Pay等移动支付通过安全芯片签发授权证明,采用非对称加密技术,既比实体卡更难盗刷,又实现了“双击侧键+面容识别”的便捷操作。
安全键盘的尴尬处境,本质是脱离用户体验的安全设计必然失败。
早期网络安全领域流传“安全与方便不可兼得”的说法,但密码管理器、通行密钥、NFC支付等案例均证明,优质的安全设计应降低用户心智负担,而非增加使用门槛。
当安全键盘强制用户放弃高效、安全的密码管理工具,倒逼其使用弱密码时,就已偏离了安全防护的初衷。返回搜狐,查看更多