當安全規定越來越複雜,人性就會找到最短的捷徑——而那條捷徑,往往是最大的漏洞
---
我的 iPhone 裡有一個備忘錄,裡面存了我所有的密碼。
我用 Face ID 鎖住它,因為這樣感覺很安全。
當然,這其實沒有多安全。但你知道嗎?這件事不是我的錯,是系統逼出來的。
事情的起點是那些「為你好」的密碼規定:至少 12 個字元、大小寫加數字加符號、不能跟上次一樣、而且每隔幾個月就要換一次。每次按下「忘記密碼」,我就得再想出一組保證記不住的新密碼,然後繼續把它存進備忘錄。這個循環我走了好幾年。
這不是懶惰,這是資安疲勞(Security Fatigue)——當安全要求的累積負擔超過人類的認知上限,大腦就會自動尋找阻力最小的路徑。備忘錄、便利貼、簡單好記的「123456a!」,都是同一套求生本能的產物。
問題是,真正的危險不是密碼太簡單,而是:**這套以「嚴格」為名的制度,正在把每個使用者都訓練成資安漏洞。**
這篇文章想聊的,就是為什麼「資安第一」的口號,有時候反而製造了第一的風險——以及有沒有更好的路。
---
## 一、資安疲勞:你的耐心是有限的,但要求是無限的
心理學家 Lorrie Cranor 在擔任美國聯邦貿易委員會(FTC)技術長時曾撰文指出:強制定期更換密碼的政策,實際上讓使用者選擇了更弱的密碼。原因很直觀——當你知道這組密碼用不了多久就要換掉,你不會認真設計它。
這不是個人修養問題,這是認知資源有限的必然結果。
美國 NordPass 的調查顯示,一個普通使用者平均需要管理超過 100 組帳密。同時,密碼規定的複雜度卻持續升高:大小寫、數字、符號、最短長度、不得重複……每新增一條規定,就在使用者的大腦裡多佔一塊空間。當這塊空間被榨乾,人性的反應不是更認真,而是找捷徑。
這就是資安疲勞:**不是使用者變得更懶,而是系統把使用者的注意力資源榨乾了。**
---
## 二、那個按下「允許」的瞬間
2022 年,Uber 遭到駭客入侵。攻擊者的手法出人意料地簡單:他們對目標員工的帳號連續發出數百次多重身分驗證(MFA)的推播通知,持續轟炸,直到這位員工被煩到直接按下了「允許」。
這種手法有個名字:MFA 疲勞轟炸(MFA Fatigue Attack)。它利用的不是技術漏洞,而是**人類在面對重複刺激時的心理崩潰**。
諷刺的是,MFA 本來是用來加強防禦的。但當防護機制產生的摩擦超過使用者的忍耐閾值,它就從盾牌變成了弱點。後來,同樣的手法被 Lapsus$ 駭客組織複製,成功攻入 Microsoft 與 Okta——這些都是全球頂尖的資安公司。
這個案例說明了一件事:純技術角度的防禦,如果忽視了使用者體驗,最終會被使用者的人性從內部拆穿。
---
## 三、嚴格不等於安全——NIST 也這樣說
2017 年,美國國家標準技術研究所(NIST)更新了密碼安全指引(SP 800-63B)。這份文件做了一個讓很多 IT 人員跌破眼鏡的建議:
**停止強制使用者定期更換密碼。**
理由是:研究顯示,被要求定期換密碼的使用者,往往只做出可預測的微小變化(`password1` → `password2` → `password3`),完全不增加安全性,反而讓攻擊者更容易預測。
NIST 的結論是:除非有具體的憑證外洩跡象,否則強制更換密碼弊大於利。
換句話說,那個每隔 90 天逼你改密碼的系統,不只讓你很煩,它還可能讓你更不安全。
---
## 四、好的安全設計,應該讓你感覺不到它
如果問題出在「把太多責任丟給使用者」,那解法就是:**把責任還給系統。**
這不是什麼遙遠的未來,它已經在你的口袋裡了。
蘋果、谷歌、微軟近年來共同推動一個名為 **FIDO2** 的國際標準,目標是讓「密碼」這個東西退場。具體的實現形式叫做**通行密鑰(Passkey)**——你不需要記任何字串,只需要用你的臉或指紋解鎖裝置,登入就完成了。
從技術角度看,通行密鑰比密碼安全得多:它以非對稱加密運作,金鑰綁定特定網站,無法被複製,也無法被釣魚網站竊取。從使用者體驗角度看,它的摩擦接近於零——你本來就會解鎖手機,這個動作不需要額外學習。
另一個常見解方是**單一登入(SSO, Single Sign-On)**:登入一個主帳號後,相關的所有服務都不需要再重新驗證。這讓使用者只需要守好一道門,而不是同時看管一百扇窗。
這些技術的共同設計哲學,正是真正好的資安設計的本質:**安全應該是預設隱形的,而不是把責任轉嫁給使用者,讓他們自己撐起防線。**
---
## 五、使用者不是資安的最後一道防線
長久以來,資安教育的核心訊息是:「你要更小心、更謹慎、密碼要更複雜、要更不信任陌生連結。」這個邏輯的底層假設是:使用者是防禦的最後一道防線。
但這個假設本身就是問題所在。
人類的注意力是有限且可消耗的資源。每一道多餘的安全摩擦,都在消耗這個資源。當資源耗盡,不是使用者變壞了,是系統讓他們別無選擇。
Verizon 的《2023 資料外洩調查報告》顯示,74% 的資安事件涉及人為因素。但這個數字應該引發的問題不是「人類太不小心了」,而是:**為什麼我們設計了一套需要人類無限耐心才能運作的系統?**
真正以使用者為中心的資安設計,是讓系統吸收複雜度,讓使用者回歸本能。通行密鑰、SSO、以裝置為信任根的身分驗證——這些技術的存在,正是在告訴我們:讓人類少做一件事,往往比要求人類做更多更安全。
---
那個 iPhone 備忘錄,我現在還是留著。
不是因為我沒有意識到問題,而是因為轉換有成本——舊的帳號、舊的服務,大多還不支援通行密鑰。改變需要時間,而整個產業正在往那個方向走。
但我現在看待這件事的方式不一樣了。
我不再覺得那是我「不夠認真」的證明,而是一套設計失敗的系統,在每個普通使用者身上留下的痕跡。備忘錄不是懶惰,是一個合理的求生反應——只是剛好被包裝成了「我以為這樣很安全」的自欺欺人。
下次當你的公司又要求你換密碼,或是你又收到第五十次 MFA 通知,你可以問一個問題:
**這道防線是為了保護系統,還是為了懲罰使用者?**
如果答案是後者,那問題不在你身上。
真正好的資安設計,是你完全感覺不到它的存在——卻被它保護著。
---
*本文涉及技術名詞速查:*
- **FIDO2**:不需密碼就能登入的國際標準,由蘋果、谷歌、微軟共同制定
- **通行密鑰(Passkey)**:用臉或指紋代替密碼,存在你的裝置裡,無法被複製或釣魚
- **SSO(單一登入)**:登入一次,到處通行
- **MFA 疲勞轟炸**:駭客連續發出大量驗證請求,讓你煩到直接按「允許」
---
我實在想知道AI Agent會不會也有資安疲勞呢?
