三年前過年前我去鼓浪嶼旅了個游，不幸丟失了我的iPhone5，考慮到過年的開支，買了臺小米。當時棄蘋果投Android的原因除了價格，還有那時讀的一篇文章《FBI無法破解Android手勢密碼》。

　　FBI在法院文書中提到，法院專家用多種方法嘗試解鎖一臺Samsung Exhibit II，未果。

　　文章后面的故事在此不表，重要的是，它給我植入了“手勢密碼極度安全”這個印象。后來指紋解鎖逐漸成為主流，但陳昊最近一篇文章又指出，指紋解鎖的安全性出現了新的問題。那么，退回手勢密碼是否是安全上策？

　　不一定！

　　人喜歡偷懶

　　挪威科技大學的MarteL?ge在研究生畢業論文中對這個問題進行了研究，分析了4000多個ALP（手勢密碼），發現這些密碼有著驚人的相似性。這些ALP中，44%從最左邊的點開始，77%從四個角開始。另外人們并沒有將9個點充分運用上，平均連接僅有5個點，意味著只有9000種可能性。用4個點的用戶也不少，他們的密碼僅有1624種可能。

　　人類是可預測的。

　　研究過程中，L?ge讓志愿者各自設置3個ALP：一個用于購物應用，一個用于銀行應用，一個用于解鎖手機。結果大部分人都選擇使用最基本的4位解鎖圖案。出于某種原因8位密碼的使用頻率最低，過半數人選擇使用4-5位的ALP。

　　人們對短密碼的偏好很好理解，短的好記嘛。當然這點上還存在性別差異，女性似乎更喜歡“偷懶”，男性則更傾向于使用較長的密碼。下圖是男性與女性設置的密碼長度對比：

　　除了長度，男性還更傾向于將密碼設置得更復雜，例如2，3，1的組合，就比1，2，3，的組合復雜性更高，因為前者組合改變了數字的“方向”。在L?ge的試驗中，沒有任何一位女性使用了這種“調頭”的密碼。

　　最好破解VS最難破解

　　文本密碼中，“1234567”、“password”恐怕誰都用過，恰恰這些密碼也是最容易破解的密碼組合。人們在設置手勢密碼時同樣遵循著這種“偷懶”的習慣，超過10%的受試者的起點都與配偶、小孩、寵物的名字相關。假如心懷不軌者掌握了相關信息，并猜到了第一個字，破解密碼的難度就會大大降低。

　　設密碼或許是最反人性的一項工作。復雜性多半會難倒自己，不復雜的話又有安全隱患。其實最復雜的密碼就是隨機密碼，“但人類大腦先天注定無法產生隨機內容”（語自大學的統計學教授）。

　　回到文初提到的“FBI無法破解Android手勢密碼”，而L?ge又說手勢密碼很脆弱，歧視也不完全矛盾。不清楚當時FBI的破解手段，但光談密碼機制，AndroidALP本身是很安全的，至少比純數字的密碼要安全的多。L?ge的研究是從心理學的角度分析人類使用密碼的規律，人性，總歸是有破綻的。

　　一會去問問公司附近停車場保安兒子家養的狗是哪天生的。