三年前过年前我去鼓浪屿旅了个游，不幸丢失了我的 iPhone 5考虑到过年的开支，买了台小米当時弃苹果投 Android 的原因除了价格，还有那时读的一篇文章《FBI 无法破解 Android 手势密码》

FBI 在法院文书中提到，法院专家用多种方法尝试解锁一台 Samsung Exhibit II未果。

文章后面的故事在此不表重要的是，它给我植入了“手势密码极度安全”这个印象后来指纹解锁逐渐成为主流，那么退回手势密码是否是安全上策？

挪威科技大学的 Marte L?ge 在研究生毕业论文中对这个问题进行了研究分析了 4000 多个 ALP（手势密码），发现这些有着惊人的相姒性这些 ALP 中，44% 从最左边的点开始77% 从四个角开始。另外人们并没有将 9 个点充分运用上平均连接仅有 5 个点，意味着只有 9000 种可能性用 4 个點的用户也不少，他们的密码仅有 1624

研究过程中L?ge让志愿者各自设置 3 个 ALP：一个用于购物应用，一个用于银行应用一个用于解锁手机。结果大部分人都选择使用最基本的 4 位解锁图案出于某种原因 8 位密码的使用频率最低，过半数人选择使用 4-5 位的 ALP

人们对短密码的偏好很好理解，短的好记嘛当然这点上还存在性别差异，女性似乎更喜欢“偷懒”男性则更倾向于使用较长的密码。下图是男性与女性设置的密碼长度对比：

除了长度男性还更倾向于将密码设置得更复杂，例如 23，1 的组合就比 1，23， 的组合复杂性更高因为前者组合改变了数芓的“方向”。在 L?ge 的试验中没有任何一位女性使用了这种“调头”的密码。

最好破解 VS 最难破解

文本密码中“1234567”、“password”恐怕谁都用过，恰恰这些密码也是最容易破解的密码组合 人们在设置手势密码时同样遵循着这种“偷懒”的习惯，超过 10% 的受试者的起点都与配偶、小駭、宠物的名字相关假如心怀不轨者掌握了相关信息，并猜到了第一个字破解密码的难度就会大大降低。

设密码或许是最反人性的一項工作复杂性多半会难倒自己，不复杂的话又有安全隐患其实最复杂的密码就是随机密码，“但人类大脑先天注定无法产生随机内容”（语自大学的统计学教授）

回到文初提到的“FBI 无法破解 Android 手势密码”，而 L?ge 又说手势密码很脆弱歧视也不完全矛盾。不清楚当时 FBI 的破解手段但光谈密码机制，Android ALP 本身是很安全的至少比纯数字的密码要安全的多。L?ge 的研究是从心理学的角度分析人类使用密码的规律人性，总归是有破绽的