半小时前，我还在烦这个礼拜写什么。我打开公司提供的电脑准备开工。 然后现在我要发牢骚了。

作为跨国企业，我公司对雇员怎样用工作电脑有严格要求。雇员每两个月就必须换电脑跟所有工作户口的登入密码，否则期限到了无法登入电脑工作。这是为了让骇客不容易骇入我们的电脑，确保公司资料安全。

但两个月换一次密码还不够，公司还要求密码必须够长够复杂，要有大写小写数字符号标点符号，很难记。所以我每次换密码后，都把密码收藏在手机上，用电脑时就看着手机输入。

今天我打开电脑，电脑又跳出窗口来，要我趁两个月过去前换密码。不料公司增加了对密码的要求。我花了半个小时，一再尝试输入新的、比之前复杂的新密码，可是电脑一直坚持密码未满足长度和复杂程度的条件。我决定放弃，打算明天再试，同时写下这篇文章来发牢骚。

是的，每两月换一次密码会让骇客更难猜到密码。但结果雇员因为记不住复杂密码（记住也没用，反正过两个月又要换新的），都会把密码写进纸条，贴在电脑萤幕上。我公司几乎每个人都这么做！于是雇员如果暂时离开电脑，路人甲就可以轻易登入电脑抄走资料，甚至抄下密码来登入雇员的工作电邮。

前年，美国联盟贸易委员会首席技术专家克雷诺（Lorrie Cranor）就强调，强制用户定期更换密码有可能会适得其反。众多研究显示，这样反而令人们倾向使用较弱而且可以预测的密码，为了好记本来是tunM#1的密码下一次就换成tUnM#1，然后换成tuNM#1，如此类推。骇客只需要用演算法，就能准确预测一部分用户会怎样修改密码。

所以说，只要破解“人”这环，再高科技的加密手法都没用。一家公司可能有最强加密软件，但骇客只要打几通电话、跟关键雇员喝茶聊天套点资料，就可以轻易骇入系统。就算员工用最难猜的密码，如果她把密码写在纸条上，那再好的密码都没用。IT部门不只要懂科技，还要懂人性；这种强迫雇员每两个月换一次密码的作法，没有保护到公司的资料，只是做个样子给上头看。这也未必是IT部门的错。克雷诺指出，就算IT部门想让员工省去一直换密码的麻烦，上头接受他的解释吗？只好维持现状，直到资料外泄再下令全公司员工禁止把密码写在字条上，你们自己看着办吧。

科技总是要在安全和方便之间实现平衡。我承认企业必须确保雇员都用足够复杂、不容易猜测的密码登入系统，千万别用老公生日日期或美国总统的名字。我不是没有网上安全意识，我网上所有户口从不使用重复的密码，而且密码都是软件生成的乱码，能用双因子验证（2FA）的户口都有用。但无极则反，当本意是确保资料安全的科技太麻烦，人就不会去用它，或用比较不安全的方法。

我再举个例子。现在很多网站都支持甚至强制使用双因子验证（2FA），登入帐户必须先用手机接收验证码，所以骇客不只要有你的密码，还要同时有你的手机号码才能下手。但手机号码是公开资料，一有了手机号码骇客就不难得到验证码了。于是这些年科技新闻网都爱煽情地呼吁人们，别用SMS接收2FA验证码了，除非你想成为下一个受害者！应该马上换去用谷歌Authenticator等生产验证码的软件！科技新闻网本意良好，但他们忽略了几点。

第一，骇客很忙，他们如果有更容易下手的对象，才懒得套你手机号码呢！除非你是大公司高层、政治领袖、异议分子。如果你有用SMS接收验证码，在骇客眼里，你就不是那么有吸引力。第二，就算你有在使用可以接收验证码的软件，一般上网站还是会额外提供通过SMS接收验证码的功能，以防万一；你必须特地关掉该功能，否则户口没更安全。第三，很多网站——尤其是银行网站——只支持用 SMS 接收验证码。资料显示90%网民连基本的SMS版2FA都没在用，此时煽情地强调SMS接收验证码的风险，反而令很多本来考虑启动SMS版2FA功能的人继续用不安全的密码输入方式，变成好心做坏事。

科技公司总是在安全跟方便间取舍，最好找到恰当平衡。与此同时，科技不应该只有科技，还必须有符合人性的设计；如较多智能手机款式早就从普通密码登录换去指纹识别，这两三年更纷纷换去更方便的脸部扫描。每次登入手机的方法变得方便，都会有一大堆科技迷跳出来说，新的方法没旧的安全，输入密码才是王道，而且密码必须够长和复杂，别只6个号码。但如果每次用手机都得输入16个号码，多数人只会放弃用密码。牺牲掉一点点安全换来方便，反而鼓励更多人用“不是最安全”但有用好过没用的安全功能。至善者，善之敌也，不只政治是如此，科技也是如此。