这两种说法说的是完全不同的事情。他们并不矛盾。但是，这并不能使它们都成立。

PixelPin：该产品显然通过选择图片上的四个位置来代替密码。这意味着您选择了一张图片，而您的“密码”就是您在图片上选择的四个点的坐标序列。

由于不能依赖用户总是点击完全相同的像素，特别是因为他们声称支持触摸屏，所以必须假设像素选择有点模糊。如果我们假设智能手机上有一张全屏图片，我们可以希望图片中有 200 个可能的选择点（就像用户的点击落在 20x10 的网格上一样）。实现必须做一些聪明的事情来避免阈值效应（当用户选择一个靠近两个网格元素之间边界的选择点时）。

四个选择点则意味着 200 ^{4 个}可能的“密码”，即比 30 位多一点的熵。虽然这还不错，但就密码而言，这并不是有史以来最强大的密码。需要说明的重要一点是，人类用户不太可能在图片上选择“真正随机”的点。正如页面上的示例所示，人类用户将点击猫的鼻子，而不是在后墙上的随机位置，如果只是为了能够在下次登录尝试时再次点击它。我严重怀疑在真实条件下，人类用户在选择时会获得足够的随机性来击败暴力攻击。

PixelPin 公司声称使用用户选择的图片可以让用户更容易记住他们的观点；我愿意相信。他们谈论图片优势效应，这是一个自夸的名字，因为人类是猿，而猿是非常视觉化的动物—​​—灵长类动物在大约 5000 万年前就拥有良好的视力，而写作是人类独有的，不超过 6000 年年。毫无疑问，人类的记忆可以有效地挖掘图片。我们的祖先受过高度训练，能够记住狮子的样子（假设那些不记得狮子的人的职业生涯平均较短）。

总的来说，我觉得 PixelPin 的说法有点大胆，很可能是离谱的。不过，这个想法很有趣。

证书中的图片是另一回事。证书是关于将身份与公钥绑定。一张照片可以被认为是身份的一部分。

Kleopatra 的人们表示，他们不想支持图片有几个原因，其中包括照片给人一种“虚假的安全感”的想法。他们的意思是，一张照片是一个人身份的合理部分，只有在签发 CA检查照片是否真的是目标人的情况下。这似乎很可疑，除非颁发 CA 自己拍摄照片。就目前的证书来说，证书上的照片只是广告而已；它们是证书持有者想要的样子的照片，而不是真正的密钥所有者的照片。

简而言之，证书中的图片往往会让用户对某些假设的增强安全性产生温暖的模糊感觉（主要是与 ID 标签和护照类比），但这些感觉在很大程度上是未经证实的。Kleopatra 开发人员认为保护用户免受此类事情的影响是他们的责任，因此缺乏支持。（或者可能他们只是懒惰，不想实现对图片的支持。）

这与 PixelPin 中使用的图片完全不同。PixelPin 是关于图片作为对人类记忆的支持。Kleopatra 将图片视为身体身份的一部分。

克娄巴特拉说证书中嵌入的照片并不能证明证书来自照片中的人。这是出于身份验证目的而使用图片的完全不同的用途。

至于 PixelPin 的安全性，在不了解具体实现的情况下，无法判断。我认为问题与使用指纹相同，这意味着服务必须以纯文本形式存储重放攻击所需的所有信息。但是，我对此可能是错的，没有更多信息就无法判断。

他们的方法似乎很容易受到肩部冲浪的影响。

我认为记住许多不同的“像素针点”组合比记住许多不同的密码更难，所以用户会一遍又一遍地使用相同的图片和点，这与用户使用的漏洞相同到处都是相同的密码。

还有连续四分等“简单密码”的明显问题，以及分左右、自上而下顺序的系统性弱点。

他们的视频中没有说明，但如果图片的身份是密码的一部分，并且图片仅存在于本地，那将是非常强大的安全性 - 但从不寻常的位置访问是不可能的。