国内的银行软件搞所谓的“安全键盘”是不是有什么大病？

很多回答最大的问题在于，漠视选择权。权力部门跟国资企业，最擅长的事情就是把安全性如纸糊一般的产品以安全的名义强加在你头上。

我上网20多年，在安全领域依然完全是个小白。但就我这个菜鸟水平，依然破解过几款平台，它们无一例外都是这种背景的。

高中时，公安部门以安全名义强制推广了一套网吧实名管理系统，用了没几天就被我突破了，实现了免费在网吧上网的自由。该系统采用本地Access数据库保存会员、余额信息，密码明文出现在exe当中。打开后给自己的账户改余额，就能一直免费上网。

该系统向网吧收费使用，而此前网吧广泛免费使用的美萍、万象，无此类低级漏洞。而由于强制推广，高度统一，我一时间在各网吧畅行无阻。

毕业后在公安部门做协警，各类内部平台、工具，bug漏洞一大堆，基于签过保密协议就不详谈了。

本地的市民投诉平台，市民热线，有个网站可供实名查询自己的投诉记录，有姓名、通话时间、投诉内容、被投诉单位、该单位反馈等各种信息。我初次使用就发现该网站的手机短信验证码登陆界面形同虚设，无鉴权过程。提交验证码，仅用于控制浏览器的url地址跳转。直接手动输入该url地址，可查看全部投诉记录。在url中写入别人的手机号，更是可以任意查看其他人的投诉记录。

疫情时强制要求使用本省统一的网络平台登记学生的学校、班级、姓名、上下学时间、乘坐的交通工具、家庭住址。但鉴权的过程仅仅是输入学生的身份证号码，无需输入任何其他信息。我立马发现问题，尝试写了个脚本，通过穷举身份证号，爆破出了几千名孩子的这些信息。这简直极大的方便了人贩子，我打电话给责任单位，要求封堵该漏洞，但到疫情结束也未封堵。

到现在为止，我依然是个安全领域的纯外行，即便如此，我依然觉得权力部门强制推广的网络设施往往安全性跟纸糊的一样。那么在专业黑客眼里，问题肯定要比这严重百倍。

还有一种情况，那就是国内这些部门喜欢重复造轮子、闭门造车。业界或者国外，已有更为成熟可靠的安全方案时，直接另行采购一套国产的，且过程中不去调查已有方案，不考察人家踩过的坑，非要把人家多年前早已走过的弯路，现在再走一遍。

基于软件的OTP、TOTP双因素认证方案，才是综合考虑了便捷、安全的最优解。而国内普遍采用短信作为双因素认证方案，又慢又不稳定。

安全键盘、乱序键盘，在我眼里纯属无用功，和普通键盘没有任何区别。因为黑客根本不会去监听键盘，而是直接监听文本框或http数据。它根本防不住黑客，只能防站在你身后人肉偷窥，但由于全新的陌生键盘布局，让你的输入速度大降，反而可能提高了被偷窥的风险。

还有，我很少在键盘输入密码，都是使用密码管理工具，生成随机密码之后，用这些工具来代为输入。但这种设计往往会妨碍这类工具的使用。

所以这种设计，对安全性的下限的提高非常有限，但对安全性的上限，却做了很大的限制。我不反对它的存在，但反对它的强制使用。任何使用所谓安全键盘的app，都应该允许用户在设置中对其关闭，改为采用更为可靠的专业密码管理工具。

我已经很努力的反复向读者说明自己在信息安全领域是外行了，奈何很多评论就是不相信。

若你们不信我是小白，只能说明你们的安全意识太薄弱了，对信息安全领域可能遇到的风险严重低估了。因为你们严重低估了达到这种水平的潜在攻击者的数量。