文章核心观点 - 文章提出一个关于网络安全的“暴论”，即手机银行App中普遍采用的“安全键盘”并不能有效守护账户安全，反而可能鼓励用户使用低熵值密码，并阻碍密码管理器等高安全性工具的使用，从而在事实上降低了安全性 [1][8][14] - 文章认为，安全措施不应以牺牲用户体验和便利性为代价，真正的安全策略应将复杂的技术细节封装起来，降低用户的心智负担，使安全与便利并行不悖，例如通行密钥（FIDO）和手机NFC支付所展示的方向 [15][19][20] 安全键盘的历史渊源与行业标准 - 安全键盘的前身是个人电脑时代的“软键盘”，旨在应对网吧等公共上网环境中硬件键盘记录器的威胁，通过鼠标点击屏幕键盘输入来绕过键盘记录 [4][5] - 中国金融行业标准JR/T 0068-2020和JR/T 0092—2019中，推荐性（非强制）要求客户端程序采取如自定义软键盘、逐字符加密等措施来防护支付敏感信息输入 [6] - 各金融机构App对安全键盘的实现方式各异，从利用系统功能模拟到自行绘制UI，甚至存在像云闪付App那样可能修改实际输入字符逻辑的非标准实现 [7][8] 安全键盘在当代环境下的有效性分析 - 当前个人设备普及，硬件被篡改风险极低，且手机屏幕输入难以被第三方App通过屏幕录制或陀螺仪等方式可靠探测 [9][10][11] - 安全键盘的随机打乱按键设计，本意是增加窥探难度，但反而可能促使用户为提升输入效率而选择更简单、易记忆的低熵值密码，降低了密码安全性 [12][13] - 许多安全键盘的实现会阻止系统级密码管理器自动填充功能，迫使用户手动输入密码，这既降低了便利性，也削弱了使用密码管理器生成和存储高熵值密码带来的安全优势 [14] 密码管理的发展趋势与更优解决方案 - 密码管理器通过生成、存储和自动填充高熵值密码，在用户习惯、软件安全、操作系统支持等环节良好的情况下，能提供强大的安全保障 [16][17] - 通行密钥（Passkey）及背后的FIDO标准旨在用非对称加密等技术，将认证的复杂性封装起来，提供比传统密码更安全、更便捷的登录体验，但其全面普及仍面临现实阻力 [17][19] - 手机NFC支付（如Apple Pay）是便利与安全结合的典范，利用设备安全芯片和非对称加密，在提供丝滑支付体验的同时，安全性远超实体银行卡 [20] 对安全与便利关系的重新审视 - 传统的“安全与方便必须牺牲一方”的观点受到挑战，脱离用户体验、给人带来麻烦的复杂安全策略往往会导致用户寻找变通方法，从而引入新的安全风险 [15][18][20] - 有效的安全策略应融入用户流程，降低使用门槛，让安全成为便捷体验的一部分，而非障碍 [19][20]