前两天拆了两个旧门,换新防盗门想起件有趣的陈年往事。
上世纪九十年代开始流行装防盗门,但当时我们的楼本身都有木门,于是装上防盗门后就是一铁一木两道门。我父母和老年人他们每次上班,或者出远门都会锁上两道门,而且还反锁,我自己在家进出时就感觉特麻烦。
有天忍不住了,吃饭时给大家摆事实讲道理,我想说服他们以后只用防盗门就行。理由很简单,第一小偷通常不会选择正门强攻,典型入口是窗户;第二万一小偷有手段“暴破”防盗门,那么木门显然也就是摆设了。如果点背被小偷捡到钥匙长驱直入,不管锁几道门都没用,因为钥匙全部放一起,要丢肯定不会只丢一把。结果没人同意我的看法,让我郁闷了好几个晚上。
门的反锁功能其实道理一样,反锁主要是防止里边的人出来,对防止外边的人进去没多大帮助,比如我小时候经常被反锁在家,特痛恨这功能。外出时反锁,或者干脆反锁再多拧两圈那就是个心理安慰,感觉比较安全而已。如果防盗门不反锁被撬造成损失,那不是用户的问题,而是防盗门质量太差,应该理赔,这个道理我十二三岁时就想清楚了。
此理论映射到互联网产品的帐号登录密码机制上,问题也很典型,用户帐号被暴力破解的可能性微乎其微,并且完全可用其他专业技术方案规避。绝大多数用户帐号被盗,都是木马记录、网络监听等非“正门”手段所获。很多形式上的密码强度检测也仅仅是在工程角度的片面考虑,并没有充分引入用户的认知逻辑。两年前提到的检测机制非人性化问题,现在还可以看到很多。
我们公司用Windows XP外加Louts办公系统,并且都是三个月必须更换的安全策略,大小写字母外加符号、不能重复的规则之变态,令人发指。真有必要这么复杂么?每天录密码忘密码得降低多少工作效率?员工在局域网内暴力破解别人电脑而没被发现,难道不是IT网管的失职么?
不要折磨用户来试图保证绝对安全,你能想到的事情hacker们早想到了。每次在各种登录表单面前抓耳挠腮想密码时,我就想起句话“操不完的一颗心,操不够的你大爷。”
© 一叶千鸟(转载请留原文链接,更新于2009年12月21日0点)
其实防盗门的思想还可以衍生为网站的来访页面,很多网站往了很多功夫在首页的处理;然而,陌野看到很多网站的后台数据显示,网站的来访并非基于首页到达,如同博主所说,并非要从大门进入,所以,如何识别用户的实际达到路径以及引导,也是网站体验非常关键的环节。
05.01.2009 11:07 上午 - 1楼确实有不少人会把密码设成123456、111111之类……对这些人来说,提醒一下还是必要的
05.02.2009 10:18 上午 - 2楼不过密码必须复杂且定期修改且**不能重复**这一点确实挺让人头疼
另外很多防盗门是栅栏式的,不关木门的话从外面就可以直接看到屋子里面呀……
这些现象存在了这么久,有些还是有其合理性。
05.02.2009 10:51 上午 - 3楼如楼上所述,防盗门是栅栏式的,这样平时可以不关里面的门,但是又可以起到保护和通风作用,而单独的一扇门则起不到此种作用。
至于反锁功能,除了让了里面的人出不来外,其实还可以看到门锁处的铁条又被加了几道,可以略为增加强行突破者所花的时间,而从强行突破者角度来说,在没有特定目标的情况下,肯定是优先选择更容易突破的,所以还是略有作用。
至于密码检测强度,还是有作用的,安全上无小事,有些时候安全和体验会有冲突的,比如银行取一次钱就退卡一次。这点根据安全需要来选择最适合的是相对合理的方法,某些本身没有强密码需求的地方非要用强密码检测则纯属不考虑用户体验而只为安全上目标而偷懒的方法。
@盆地
现在绝大多数的防盗门都可以开窗,不是当年那种整块“铁门”。
注意理解我的观点“防盗门都能被撬,那肯定是防盗门的质量太差,不是用户反不反锁的问题。”好象是上世纪90年代“盼盼”防盗门首创的多方位自动锁定,但我认为意义不大。
本意不是说不能用密码强度检测,而是不够人性化,请参考原文链接。
05.02.2009 8:10 下午 - 4楼想起了notes BT的安全机制,呵呵
05.04.2009 8:01 下午 - 5楼