微信支付密码为什么是六位数?

2016-06-19 3,934 0

只用输入六位数,你就可以享受到微信支付的安全、便捷体验。

为什么是六位,而不是更多位的数字,甚至是字母+数字+大小写的方式?

为什么这样也可以做到很安全?

通常认为,简单的,容易被猜到的密码是非常不安全的。
我们常被教育说,密码要越长越复杂为好。
比如下面这位网友,他的密码就是一串长长的英文:“cptbtptpbcptdtptp”。
这么长的密码,咋记呀?
“吃葡萄不吐葡萄皮不吃葡萄倒吐葡萄皮!”

但是,这样真的安全吗?
其实——

1
复杂的长密码并不见得安全

纳尼?!!!
密码的破译,较为常见的是“穷举法”。如果仅以数字做明文密码,密码为6位的话,只需要计算10的六次方。如果字符的范围扩大,比如加上26个字母的大小写,再加上10个数字,总计是62个字符数,这样用穷举法来破解六位数密码,需要计算62的6次方。相应地,密码的位数增加,加入更多的特殊字符,所需要计算的量会更大,破解所花费的时间就越长。

然而,计算机的计算能力进化很快。理论上来说,无论多复杂的密码或者加密方法,随着计算能力的发展,都不会一直安全。

此外,在现如今更常用的“撞库”攻击的破解方式下,坏人获取了有价值的用户数据,然后在其他地方尝试登陆,这时密码的复杂度就显得毫无意义。

事实上,业内共识是,单凭密码(不管长度及复杂性如何高)这一个因子作为认证条件已经不安全,鉴权过程至少需要双重因子才可被认为是安全的。这个双重因子并不是说再设置第二个密码,而是指不同于密码这种使用者“所知”的东西,而是使用者“所有”的东西如手机、硬件token,USBkey等或使用者“本身”的东西如指纹、声纹、虹膜等。

相较于让用户来为设置密码,以及为记住密码费尽心思,还不如在系统层面增强其安全性。安全不该只是用户的责任!

否则,密码设得又复杂又长,只是让你感觉到很安全,看起来更像是一种心理安慰。

2
六位数密码让你不“方”

实际上,微信支付很早就明白了这个道理,它允许设置六位数的密码,不再像很多公司通常会做的那样,让用户接受“密码酷刑”:字母(大小写)+数字+特殊符号。
这一切都是为了创造更好的移动支付的便捷体验——

先做个小测验。
“2471530121987”。
你能够不费力地快速记下这串数字么?
感觉很难?
那你试着将这串数字分解为24(小时)—— 7(一星期)—— 15((半个月)—— 30(一个月)——12(一年)——1987(年),这样再记这串长数字是不是会容易些?

不过,如果将这串数字再放长一些,放大到超过可以分解的七项及以上,你就会发现在短时记忆中,在不重复练习的情况下,记忆又变得困难起来。7个“组块”可以经由心理运作扩大,但是也已经是大多数人的极限。

在认知心理学上,“2471530121987”是一串很有名的数字。

1956年美国著名的心理学家乔治·米勒 [George Armitage Miller] 在一篇很著名的论文中,通过研究提出 “正常的成年人在通常情况下,只能在短时间内记住7个数字,因为个体差异,上下限分别为5~9”,这是认知心理学中很出名的“七加减二”原理。

因为这个认知的局限,很多人在电话簿上查到电话号码,待到要去拨号时往往会忘记自己要拨的号码(你肯定有过这样的体验)。

同理,如果是一个超过六位数(组块)的密码,很多人可能记起来会比较吃力。

假如当你绑定银行卡,开通微信支付,以为可以酷炫地使用起来时,却发现扫完码后,还要输入12位的密码,可能还是数字+字母的组合,对了,还有可能区分大小写。

这个时候,你会不会觉得比较方?
3
为什么微信支付能又快又安全

不过,小派知道,很多人天然地缺乏安全感,甚至到了“被迫害妄想症”的程度,了解了一些加密算法的原理,就会觉得数字和字母混杂的长密码都能被坏人破解,那6位数字的密码被破解还不是分分钟的事情?

他们会反复问,快有什么用,我还需要安全,安全,安全!!!

宝宝别怕。微信支付用6位数字密码以便于记忆,提升体验,同时安全上也能做到很好。原因在于——

01
防线不止一重---概率大大降低

这是一个简单的乘法原则。假设三个互相独立的条件发生的概率分别都有30%,单独看起来都很糟,但如果将其组合起来,最终条件触发的概率会锐减为30%*30%*30%=2.7%。

正如前面提到的,密码的长度及复杂性并不是安全的决定因素。如果我们在使用密码的时候,能用上双重乃至多重认证模式,账户的安全性才能大大提高。

微信支付正是这么做的。
在你每次潇洒消费的时候,除了六位数密码保障安全之外,还有微信账号+设备的保护:

A,在使用微信支付之前,用户必须处于登陆微信的状态,微信的至少六位数登录密码已经是一道防线了。而微信有一支专业的安全团队在负责帐号的安全。

B,开通微信支付以后系统会默认启动“账户保护”功能,这意味着更换设备登录时,需要通过验证短信验证码或者选择好友头像类社交认证的方式,这样被盗号的风险就大大降低。

C,而且,微信只提供手机端app登录的方式,不会让用户在任何其他地方(比如网页上)输入这个账户,这样被钓鱼的可能也大大降低。
这套组合拳能让微信支付发生风险的可能性降到很低。

02
还有兜底的风控系统---不让你试

虽然密码只有6位数字(理论上仅有100万种组合可能性),坏人确实可以用穷举法尝试破解,但微信支付不给这个机会:微信支付对于密码输入错误的限制非常严格。

连续错误输入3次密码——会……,你可以试试看;
连续错误输入4次密码——账户则会马上被锁定;

不过,假设你的密码很随便,也很容易被猜到,万一有人人品爆发蒙对了支付密码,微信支付还有兜底的风控系统。这个风控系统会根据人、账户、卡、设备、交易行为等多个维度的数据模型,在点击“确认支付”的瞬间,后台就完成了与微信的社交信用数据以及行为数据的比对,对支付信息和商户当前状态做判定,然后辨别出“坏人”,对可疑交易进行立即拦截。

03
全额赔付---那你还怕啥?!

最后的最后,假设坏人突破了上述的各种防线(这个概率已经非常非常低),对于非本人交易的损失,联系微信支付客服,微信支付经核实后会全额赔付。微信支付安全已由中国人民财产保险股份有限公司承保,7*24小时快速理赔。
不过,即便很安全,小派还是要提醒一下,微信支付密码不要设置成123456,654321这样的弱密码了,因为太容易被猜到,就相当于少了层防护。

实际上,这也可以回答较真网友的疑问,既然以多重因子的方式来保证安全,那为了好记,微信支付密码为何不是5位或者4位数?甚至随便取一个数字密码?

我们来做一道算术题:抛开其他条件,风险=微信登录密码被破解的概率*微信支付密码被破解的概率,以微信登录密码是6位数计,微信支付6位数密码时是1/1万亿,如果是4位数密码,则是1/100亿。而假如是熟悉你个人信息的人,很容易猜到你的密码,第二道防线失效,你遭遇财产风险的概率就大大提升。

固若金汤也怕你的漫不经心。微信其实是希望在安全与便捷之间找到一个平衡,所以六位数刚刚好。

2016061902
历史上最早的密码可能是公元前的伯罗奔尼撒战争期间,那根腰带上布满的杂乱无章的希腊字母。

信息的加密和破解,不仅是智力的交锋,也折射了人们的一种紧张关系,以及内心的极度不安全感。直到今天,我们不还在用又长又复杂的密码来安慰自己吗?

微信支付用六位数密码,却做到了优雅而安全。看完这篇文章,你是不是觉得自己被治愈了!

来源:微信公众平台(微信派)

相关文章

ThinkPHP 的老漏洞依旧是黑客手中的大杀器
我在代码里面故意留个漏洞,违法吗?
Google Chrome 类型混淆漏洞
【漏洞】Elastic Kibana 需授权 反序列化漏洞
【严重漏洞】Apache OFBiz 未授权 服务端请求伪造漏洞 可导致远程代码执行
2024 最受欢迎的 50 个密码排行榜

发布评论