為什麼銀行 App 的安全鍵盤並不能守護你的賬戶安全?

2026-01-03 | 來源: 少數派 | 轉到微信 | 有0人參與評論 | 字體: 放大縮小 | 收藏 | 打印

1Password 開發團隊的最新一期播客節目談了很多有關網絡安全相關的暴論（Hot takes），例如發往郵箱的登錄鏈接到底安不安全、口令會不會在 2026 年式微，以及 VPN 到底能不能保護好安全等。

如果讓我提出一個有關網絡安全的暴論，我會提出「安全鍵盤並不能守護你的賬戶安全」。這句話裡的「安全鍵盤」，泛指包括中國大陸在內的、部分國家或地區的手機銀行 app 中，普遍性地在密碼輸入框中使用的那套自己實現的觸屏軟鍵盤。

如果要讓我評價中國大陸金融機構近十年以來最抽象的幾個網絡安全操作，它應該能排進前三位。

▍安全鍵盤是怎麼來的？

讓我們把時間往回撥 30 年，來到個人電腦甚至還沒有完全普及的年代。早在 1997 年，招商銀行就推出了面向零售和個人的網上銀行服務「一網通」。

這應該比大多數人想象的要早得多，畢竟彼時距離發出那封著名的「越過長城走向世界」郵件只過去了十年，彼時的 QQ 也還叫做 OICQ。這個時候個人電腦普及率沒那麼高，基本上得是「萬元戶」可能才會有一台家人共享的電腦。但包括即時通訊、網絡游戲和網上銀行在內的互聯網應用的興起，依然促成了一波對互聯網需求的高峰，而彼時基礎設施和個人電腦普及就顯得像是個「遠水」，解不了人民群眾的「近火」，因此催生出了「網吧」，也就是提供公共互聯網接入的服務。

我們為什麼懷念劇版《尋秦記》?

當謊言披上馬甲:我為什麼拒絕使用"斬殺線"

軍事專家為什麼在馬杜羅的命運上再次判斷失誤?

現在我們知道，在公共設備上登錄自己的互聯網賬戶有很多安全上需要注意的地方，例如用完電腦需要將登錄狀態移除（退出登錄），或者要使用瀏覽器的「訪客模式」或「隱身模式」等等。但有一種原始但有效的「中間人攻擊」方式在彼時頗為流行，就是在鍵盤和計算機的 PS/2 接口中間，添加一個鍵盤記錄器。

鍵盤記錄器的作用，就是記錄使用這台電腦的所有用戶的鍵盤操作記錄，你輸入什麼字符、按下什麼按鈕，它統統都記下來。而且，為了（在視覺上）隱蔽鍵盤記錄器，它通常都會被做得很小，以便隱蔽在電腦機箱後側。

設想一下，如果你在網吧上網，選了一台被人設置了這種鍵盤記錄器的電腦，然後在電腦上打開了 QQ，通過鍵盤輸入了你的 QQ 號和密碼。你離開網吧之後，設置鍵盤記錄器的人回收了記錄著你輸入過的所有字符的記錄器，然後在你和網上的 GG 或者 MM 糖分超標的曖昧聊天記錄之間找到了你的 QQ 號和密碼。三天後，你的 QQ 就被盜了。

收到你和其他用戶對這種問題反饋的騰訊和其他公司不得不向自家用戶發出大量提醒，包括在網吧上網需要時刻檢查機箱背面插鍵盤 PS/2 的地方是否有什麼奇奇怪怪的東西，但投訴依然像雪片般飛來。這時候，有個工程師想到了一個主意：鍵盤記錄器只能記錄鍵盤的輸入、但不能錄制屏幕的顯示，那我們設計一個能繞過鍵盤記錄的「軟鍵盤」供用戶輸入，不就能繞過鍵盤記錄器了嗎？