视障用户在线安全：密码管理工具的可访问性挑战与解决方案

盲人和低视力用户面临与其他人相同的密码管理挑战，但旨在简化安全性的工具往往适得其反。CISPA亥姆霍兹信息安全中心和德保罗大学的一项研究发现，密码管理器的可访问性不足可能导致用户形成风险习惯，如重复使用密码。

部分可访问性限制使用

研究人员与管理和工作账户密码的盲人和低视力参与者进行了交流。研究中所有参与者都使用某种密码管理器，部分依赖内置选项（如Apple Keychain或Chrome密码工具），其他则选择独立应用程序（如KeePass或1Password）。

对于视障人士而言，浏览程序的能力决定了其能否安全使用。许多密码管理器仅提供与屏幕阅读器的部分兼容性：某些操作正常运行，而其他操作则难以或无法完成。

基本存储和自动填充功能通常有效，能减少输入错误。但更复杂的功能，如生成随机密码或发出漏洞警报，往往无法与辅助软件交互。随机生成的密码无法被朗读，警告消息显示为未标记的弹窗。当用户无法验证或理解功能作用时，他们会选择避开使用。

这种实际可访问性的差距意味着原本旨在增强安全性的工具变成了便利工具。人们使用它们是为了方便，而非保护。

当密码软件难以使用时，参与者会想出保持条理和独立性的自有方法。这些个人系统给了他们控制权，但也带来了新的风险。

若干参与者重复使用密码或遵循简单模式，例如添加短序列以满足长度要求。其他人则将密码保存在盲文笔记、文本文件或电子表格中，这些方式与辅助工具配合更好。

部分用户制作盲文密码列表，以便随时访问凭证并在系统故障时作为备份。这种方法在独立阅读和存储密码方面效果良好，但存在缺点：盲文随时间推移会磨损，即使单个点损坏也可能改变密码。这些列表还需要经常重新制作。

虽然盲文笔记因明眼人无法阅读而看似私密，但如果有人直接针对列表，其提供的保护有限。这种通过隐匿实现的安全可能给用户带来错误的安全感。用盲文数字代码替换字符也可能感觉比实际更安全，因为一旦模式被知晓就很容易破解。

频繁的软件更新加剧了挫败感。按钮失去标签、快捷键停止工作，曾经可靠的程序变得不可预测。为避免被锁定，参与者延迟更新或将密码备份保存在其他地方。

并非所有发现都令人沮丧。许多参与者偏好生物识别认证，如指纹或面部识别。这些方法减少了对处理长字符序列的需求，并能与辅助技术持续配合。特别是指纹传感器，提供了一种可靠且可访问的身份验证方式，无需依赖脆弱的软件界面。

生物识别既提供安全性又保障独立性。用户无需查看屏幕或输入复杂密码即可验证身份。研究人员建议，生物识别认证应作为可访问系统的默认选项，因为它很好地契合了盲人和低视力用户的需求。

他们还建议密码生成器生成可读的密码短语而非随机符号。屏幕阅读器能清晰发音单词，帮助用户理解和记忆。这种方法将强密码实践与可访问性和自主性相结合。