虽然类似于老式的肩部冲浪，但这种攻击有一些严重的局限性：

• 你需要物理上的接近——你需要听到敲击声。这意味着它不能自动化。
• 虽然您确实减少了密码的熵，但您并没有获得完整的密码。要使此功能有用，您将需要更多信息-例如，泄漏的哈希（现在可以更快地破解，因为您可以缩小字典范围）或其他被认为是变体的密码（例如，password1而不是仅password） .

由于这两个限制，我只能看到两个合理的场景：

• 对于极高价值的目标，派人去听敲击声可能是值得的。但是没有人读这个是那么有趣......
• 它可能被已经知道受害者使用的一些密码的重要其他人或其他亲密的人使用，并且不需要借口进入监听范围。

总之，我在这个问题上支持苹果。增加的可用性可能超过安全性的微小损失。如果它打扰您，您可以随时完全关闭敲击声。但这不是我愿意为普通用户提供的安全建议。

请注意，即使是旧的敲击声也会让听众推断出密码的长度。

（再想一想，他们本可以停用密码字段的不同声音，并为其他所有内容保留它们。那样会更好。但我不会为此松懈。）

如果某人有一个非常好的和有价值的理由来瞄准你，他们可以利用这个来缩小暴力/面具攻击的范围。

对于普通人来说，密码破解者（以营利为目的）在现实世界中实际找到您和您的手机、能够近距离聆听您输入密码并拥有您的密码哈希的机会是微乎其微的。

如果某人有真正的理由为了得到你而进行大量挖掘，赚大笔钱 - 比他们破解别人的密码（可能是“12345”并且花费不到一分钟的时间）更多破解 Commodore 64，这意味着他们知道你比 1234 金发女郎更有价值；你应该把手机上的按键声音关掉。

但是，如果你是这个人，你可能已经在 iOS9 中关闭了按键音，所以没有人知道你的密码有多长。

技术上的答案是肯定的：由此造成的安全损失是真实的：

假设您的密码是“&Passw0rd5”

使用 iOS9，我只知道您的密码长度为 10 个字符（这太短了，但我只是用这个例子来说明我的观点）。我不得不假设您使用了所有 4 个 ASCII“类别”（大写、小写、数字和符号）。这将使您的密码：

95^10 = 5.98736939E+19 个可能

一台严重的密码破解计算机每秒将检查多达 3500 亿个哈希值，因此使用暴力破解（字典和其他攻击，速度要快得多，但这不是示例的重点）只需不到 5.5 年的时间。

如果我有你在 iOS10 中输入密码的记录，我将能够进行掩码攻击并将可能性降至 3.28982945E+15。其中，使用同一台计算机，我可以在大约 5 小时内破解它。

因此，确实存在潜在的安全性损失，但我的示例假设：

1. 您有一个非常短且弱的密码来保护非常有价值的东西。如果您的密码是 25 个字符并且非常强大，那么即使有了这些信息，世界仍然完全无法破解它。
2. 一个严肃的专业密码破解者想要你的密码。
3. 他得到了你密码的哈希值并且
4. 他还找到了您，并且能够离您足够近，从而完美地从声音中获取您的密码模式。

如果 #1 适用于您，看在上帝的份上，请获取一个安全密码。否则，如果您值得通过上述所有操作，请关闭手机上的按键声音，并对您的私人安全团队友善，以免他们出卖您。

很高兴能为总统先生服务。

如果您是普通人，请享受 iPhone 上的酷炫新功能，这将使打字变得更加有趣。