前一阵,克强总理对某些政府流程办理过程做了善意的批评,要求不允许再出现需要证明“你妈是你妈”这类事件。很多人都只把这件事儿当做儿戏一笑了之,不过,大家有没有想过,如果真让证明“你就是你”,你要怎么证明呢?
答案说简单也不简单,说难也不难,密码啊。
密码学认为,有三类要素可以确认“你就是你”。第一类是你知道的要素,比如密码、暗号等等,这件事只有你知道,别人不知道;第二类是你拥有的要素,一把钥匙、一块手表、一件信物等等,这件东西只有你有,别人没有;第三类是你的生理要素,指纹、面部特征、DNA等等,这些生理特征,每个人都不一样。上面的这三类要素,任何单独的一个都可以确认“你就是你”,但不够安全。如果能够两个要素联合确认,那么安全系数就大大提高了。
近期人民银行[微博]网站公布了《非银行支付机构网络支付业务管理办法(征求意见稿)》,其中有一句话:支付机构采用不足两类要素进行验证的交易,单个客户所有支付账户单日累计金额应不超过1000元,且支付机构应当承诺无条件全额承担此类交易的风险损失赔付责任。这一条看上去有点复杂,但是实际很简单,它就是说,如果支付时只有密码认证(即只输入密码就能付款),那么每天最多只能支付1000元,其他就要走银行渠道。如果能采用更安全的认证方式,那么支付额度就可以提高。
通过以上解释,我们会发现密码属于上述三要素中的第一类要素,央行[微博]的意思就是说,支付的时候,还应该再提供另一类要素,证明你的身份。比如,很多银行会向用户提供U盾,要求使用时插入,这属于第二类要素,这个U盾只有你有,别人没有。再比如,新开网上银行账户,很可能要求用户使用摄像头“刷脸”,与身份证比对,这属于第三类要素,你的脸来证明“你就是你”。
但是,单单使用密码,就已经让人觉得很累了。现在又加上多要素联合认证,真是雪上加霜。心理学有一个名词,叫做“密码疲劳”,指某些用户一遇到输入密码的场合,就感到厌倦和疲劳。下面是“密码疲劳”的一些典型发作场合:要求创建一个新的密码;创建的密码太简单,不符合网站要求,要求重新创建;创建密码的时候,要求输入两次;明明已经登陆,但是进入重要功能时,要求再输一遍密码;创建密码的时候,不显示或者显示占位符,根本看不清自己输入的是什么。其实,现在要想证明“我就是我”并不简单,况且需要使用密码的地方太多,银行卡密码、网银密码、邮箱密码、手机密码、qq密码、微信密码等等,有的是数字,有的加字母,还有的字母要求大小写区分。随着对密码的要求越来越严格,大多数人最终可能都是“密码疲劳”的患者。生活中让人疲劳的事情已经很多了:工作、物价、水、空气、交通……现在居然连密码,都让人感到疲劳。
安全和简单,是一对矛盾。安全系数越高的东西,就越不简单;而越简单的东西,可能就越不安全。但是,人类偏偏是一种不那么精确和严格的生物,还有点懒惰。到底有没有办法,能够做到既安全又简单,让人用着不累呢?欧美的信用卡是没有密码的。一刷就能用,特别方便。Amazon甚至做到了“一键购买”,只要你提交了信用卡信息,按一下鼠标,就支付成功,完全没有其他操作。现在我们常用的支付宝[微博]扫码支付、滴滴打车里面的微信免密支付,都已经不需要密码。这说明,密码不是必须的,无密码支付是可以做到的,但这必须基于健全的信用制度。
中国是关系社会而不是信用社会,能真正实现免密,让我们别再生活的那么“累”吗?也许马上出炉的“十三五”规划会有答案。(文/博闻 图/网络供图)
