微信支付密码为什么是六位数?

10 评论 19536 浏览 77 收藏 12 分钟

只用输入六位数,你就可以享受到微信支付的安全、便捷体验。为什么是六位,而不是更多位的数字,甚至是字母+数字+大小写的方式?为什么这样也可以做到很安全?

通常认为,简单的,容易被猜到的密码是非常不安全的。

我们常被教育说,密码要越长越复杂为好。

比如这位网友,他的密码就是一串长长的英文:“cptbtptpbcptdtptp”。这么长的密码,咋记呀?“吃葡萄不吐葡萄皮不吃葡萄倒吐葡萄皮!”但是,这样真的安全吗?其实——

一、复杂的长密码并不见得安全

纳尼?!!!

密码的破译,较为常见的是“穷举法”。如果仅以数字做明文密码,密码为6位的话,只需要计算10的六次方。如果字符的范围扩大,比如加上26个字母的大小写,再加上10个数字,总计是62个字符数,这样用穷举法来破解六位数密码,需要计算62的6次方。相应地,密码的位数增加,加入更多的特殊字符,所需要计算的量会更大,破解所花费的时间就越长。

然而,计算机的计算能力进化很快。理论上来说,无论多复杂的密码或者加密方法,随着计算能力的发展,都不会一直安全。

此外,在现如今更常用的“撞库”攻击的破解方式下,坏人获取了有价值的用户数据,然后在其他地方尝试登陆,这时密码的复杂度就显得毫无意义。

事实上,业内共识是,单凭密码(不管长度及复杂性如何高)这一个因子作为认证条件已经不安全,鉴权过程至少需要双重因子才可被认为是安全的。这个双重因子并不是说再设置第二个密码,而是指不同于密码这种使用者“所知”的东西,而是使用者“所有”的东西如手机、硬件token,USBkey等或使用者“本身”的东西如指纹、声纹、虹膜等。

相较于让用户来为设置密码,以及为记住密码费尽心思,还不如在系统层面增强其安全性。安全不该只是用户的责任!

否则,密码设得又复杂又长,只是让你感觉到很安全,看起来更像是一种心理安慰。

二、六位数密码让你不“方”

实际上,微信支付很早就明白了这个道理,它允许设置六位数的密码,不再像很多公司通常会做的那样,让用户接受“密码酷刑”:字母(大小写)+数字+特殊符号。

这一切都是为了创造更好的移动支付的便捷体验——先做个小测验。

“2471530121987”。

你能够不费力地快速记下这串数字么?

感觉很难?

那你试着将这串数字分解为24(小时)—— 7(一星期)—— 15((半个月)—— 30(一个月)——12(一年)——1987(年),这样再记这串长数字是不是会容易些?

不过,如果将这串数字再放长一些,放大到超过可以分解的七项及以上,你就会发现在短时记忆中,在不重复练习的情况下,记忆又变得困难起来。7个“组块”可以经由心理运作扩大,但是也已经是大多数人的极限。

在认知心理学上,“2471530121987”是一串很有名的数字。

1956年美国著名的心理学家乔治·米勒 [George Armitage Miller] 在一篇很著名的论文中,通过研究提出 “正常的成年人在通常情况下,只能在短时间内记住7个数字,因为个体差异,上下限分别为5~9”,这是认知心理学中很出名的“七加减二”原理。

因为这个认知的局限,很多人在电话簿上查到电话号码,待到要去拨号时往往会忘记自己要拨的号码(你肯定有过这样的体验)。

同理,如果是一个超过六位数(组块)的密码,很多人可能记起来会比较吃力。

假如当你绑定银行卡,开通微信支付,以为可以酷炫地使用起来时,却发现扫完码后,还要输入12位的密码,可能还是数字+字母的组合,对了,还有可能区分大小写。

这个时候,你会不会觉得比较方?

三、为什么微信支付能又快又安全

不过,小派知道,很多人天然地缺乏安全感,甚至到了“被迫害妄想症”的程度,了解了一些加密算法的原理,就会觉得数字和字母混杂的长密码都能被坏人破解,那6位数字的密码被破解还不是分分钟的事情?

他们会反复问,快有什么用,我还需要安全,安全,安全!!!

宝宝别怕。微信支付用6位数字密码以便于记忆,提升体验,同时安全上也能做到很好。原因在于——

1、防线不止一重—概率大大降低

这是一个简单的乘法原则。假设三个互相独立的条件发生的概率分别都有30%,单独看起来都很糟,但如果将其组合起来,最终条件触发的概率会锐减为30%*30%*30%=2.7%。

正如前面提到的,密码的长度及复杂性并不是安全的决定因素。如果我们在使用密码的时候,能用上双重乃至多重认证模式,账户的安全性才能大大提高。

微信支付正是这么做的。

在你每次潇洒消费的时候,除了六位数密码保障安全之外,还有微信账号+设备的保护:

  1. 在使用微信支付之前,用户必须处于登陆微信的状态,微信的至少六位数登录密码已经是一道防线了。而微信有一支专业的安全团队在负责帐号的安全。
  2. 开通微信支付以后系统会默认启动“账户保护”功能,这意味着更换设备登录时,需要通过验证短信验证码或者选择好友头像类社交认证的方式,这样被盗号的风险就大大降低。
  3. 而且,微信只提供手机端app登录的方式,不会让用户在任何其他地方(比如网页上)输入这个账户,这样被钓鱼的可能也大大降低。

这套组合拳能让微信支付发生风险的可能性降到很低。

2、还有兜底的风控系统—不让你试

虽然密码只有6位数字(理论上仅有100万种组合可能性),坏人确实可以用穷举法尝试破解,但微信支付不给这个机会:微信支付对于密码输入错误的限制非常严格。

  • 连续错误输入3次密码——会……,你可以试试看;
  • 连续错误输入4次密码——账户则会马上被锁定;

不过,假设你的密码很随便,也很容易被猜到,万一有人人品爆发蒙对了支付密码,微信支付还有兜底的风控系统。这个风控系统会根据人、账户、卡、设备、交易行为等多个维度的数据模型,在点击“确认支付”的瞬间,后台就完成了与微信的社交信用数据以及行为数据的比对,对支付信息和商户当前状态做判定,然后辨别出“坏人”,对可疑交易进行立即拦截。

3、全额赔付—那你还怕啥?!

最后的最后,假设坏人突破了上述的各种防线(这个概率已经非常非常低),对于非本人交易的损失,联系微信支付客服,微信支付经核实后会全额赔付。微信支付安全已由中国人民财产保险股份有限公司承保,7*24小时快速理赔。

weix

不过,即便很安全,小派还是要提醒一下,微信支付密码不要设置成123456,654321这样的弱密码了,因为太容易被猜到,就相当于少了层防护。

实际上,这也可以回答较真网友的疑问,既然以多重因子的方式来保证安全,那为了好记,微信支付密码为何不是5位或者4位数?甚至随便取一个数字密码?

我们来做一道算术题:抛开其他条件,风险=微信登录密码被破解的概率*微信支付密码被破解的概率,以微信登录密码是6位数计,微信支付6位数密码时是1/1万亿,如果是4位数密码,则是1/100亿。而假如是熟悉你个人信息的人,很容易猜到你的密码,第二道防线失效,你遭遇财产风险的概率就大大提升。

固若金汤也怕你的漫不经心。微信其实是希望在安全与便捷之间找到一个平衡,所以六位数刚刚好。

历史上最早的密码可能是公元前的伯罗奔尼撒战争期间,那根腰带上布满的杂乱无章的希腊字母。

信息的加密和破解,不仅是智力的交锋,也折射了人们的一种紧张关系,以及内心的极度不安全感。直到今天,我们不还在用又长又复杂的密码来安慰自己吗?

微信支付用六位数密码,却做到了优雅而安全。看完这篇文章,你是不是觉得自己被治愈了!

 

来源@微信派(微信公众号:wx-pai)

版权:人人都是产品经理遵循行业规范,任何转载的稿件都会明确标注作者和来源,若标注有误,请联系主编QQ:419297645

更多精彩内容,请关注人人都是产品经理微信公众号或下载App
海报
评论
评论请登录
  1. 楼主你是微信支付的PM吗?不是的话闭嘴,谢谢

    来自北京 回复
    1. 不谢

      来自四川 回复
    2. 顺便送你一句,你看了很多所谓的干货,但是你可能连原型都不懂怎么画

      来自四川 回复
    3. 那你就别回复觉得可笑的人了,没人逼你

      来自四川 回复
    4. 我不过阐述我的观点,且我看不惯就是非官方人员出来哔哔一些有的没的,很多时候就是把人带歪,产品不是你做的,你写一堆你所谓的观点误导新人。你要觉得我的理解有问题,无所谓,当我是喷子就行。

      来自四川 回复
  2. 不知道为什么,就是感觉在说废话。

    来自江苏 回复
  3. 为什么银行取款密码是6位,而不是微信支付密码是6位,他可以7、8位啊,并不妨碍界面和有多难输入,像是软文样,支付宝也是6位,都是6位的情况下,并没有什么优越感可言。可以将标题改成为什么支付密码是6位,,,,,

    来自广东 回复
  4. 专业团队负责果然不一般
    🙄

    来自广东 回复
  5. 难道银行卡不是?难道支付宝不是?

    来自江西 回复
    1. 都是噱头

      来自香港 回复