三年前過年前我去鼓浪嶼旅了個游，不幸丟失了我的 iPhone 5，考慮到過年的開支，買了臺小米。當(dāng)時棄蘋果投 Android 的原因除了價格，還有那時讀的一篇文章《FBI 無法破解 Android 手勢密碼》。

FBI 在法院文書中提到，法院專家用多種方法嘗試解鎖一臺 Samsung Exhibit II，未果。

文章后面的故事在此不表，重要的是，它給我植入了“手勢密碼極度安全”這個印象。后來指紋解鎖逐漸成為主流，但陳昊最近一篇文章又指出，指紋解鎖的安全性出現(xiàn)了新的問題。那么，退回手勢密碼是否是安全上策？

不一定！

人喜歡偷懶

挪威科技大學(xué)的 Marte L ge 在研究生畢業(yè)論文中對這個問題進(jìn)行了研究，分析了 4000 多個 ALP（手勢密碼），發(fā)現(xiàn)這些密碼有著驚人的相似性。這些 ALP 中，44% 從最左邊的點(diǎn)開始，77% 從四個角開始。另外人們并沒有將 9 個點(diǎn)充分運(yùn)用上，平均連接僅有 5 個點(diǎn)，意味著只有 9000 種可能性。用 4 個點(diǎn)的用戶也不少，他們的密碼僅有 1624 種可能。

人類是可預(yù)測的。

研究過程中，L ge 讓志愿者各自設(shè)置 3 個 ALP：一個用于購物應(yīng)用，一個用于銀行應(yīng)用，一個用于解鎖手機(jī)。結(jié)果大部分人都選擇使用最基本的 4 位解鎖圖案。出于某種原因 8 位密碼的使用頻率最低，過半數(shù)人選擇使用 4-5 位的 ALP。

人們對短密碼的偏好很好理解，短的好記嘛。當(dāng)然這點(diǎn)上還存在性別差異，女性似乎更喜歡“偷懶”，男性則更傾向于使用較長的密碼。下圖是男性與女性設(shè)置的密碼長度對比：

除了長度，男性還更傾向于將密碼設(shè)置得更復(fù)雜，例如 2，3，1 的組合，就比 1，2，3， 的組合復(fù)雜性更高，因?yàn)榍罢呓M合改變了數(shù)字的“方向”。在 L ge 的試驗(yàn)中，沒有任何一位女性使用了這種“調(diào)頭”的密碼。

最好破解 VS 最難破解

文本密碼中，“1234567”、“password”恐怕誰都用過，恰恰這些密碼也是最容易破解的密碼組合。 人們在設(shè)置手勢密碼時同樣遵循著這種“偷懶”的習(xí)慣，超過 10% 的受試者的起點(diǎn)都與配偶、小孩、寵物的名字相關(guān)。假如心懷不軌者掌握了相關(guān)信息，并猜到了第一個字，破解密碼的難度就會大大降低。

設(shè)密碼或許是最反人性的一項工作。復(fù)雜性多半會難倒自己，不復(fù)雜的話又有安全隱患。其實(shí)最復(fù)雜的密碼就是隨機(jī)密碼，“但人類大腦先天注定無法產(chǎn)生隨機(jī)內(nèi)容”（語自大學(xué)的統(tǒng)計學(xué)教授）。

回到文初提到的“FBI 無法破解 Android 手勢密碼”，而 L ge 又說手勢密碼很脆弱，歧視也不完全矛盾。不清楚當(dāng)時 FBI 的破解手段，但光談密碼機(jī)制，Android ALP 本身是很安全的，至少比純數(shù)字的密碼要安全的多。L ge 的研究是從心理學(xué)的角度分析人類使用密碼的規(guī)律，人性，總歸是有破綻的。

一會去問問公司附近停車場保安兒子家養(yǎng)的狗是哪天生的。