认真讨论下，对重视安全性的用户而言，手机密码怎么设置最好

是否设置生物识别（指纹/面容）

反方：

“生物识别不是额外的安全性功能，但可以帮助用户更便捷的解锁，这让更长的密码变得更加实际。”但是有几个问题：

1. 除了 iOS 平台，几乎没有厂商公布自家生物识别功能的具体实现和安全强度，前几年 iPhone 刚出 Touch ID 的时候，有些跟进的厂商几乎是乱搞的，甚至出现过直接明文存储用户指纹图片的操作，现在虽然这种事少见了，但有没有类似 TPM 芯片/安全隔区的防护设计，可靠性如何，几乎完全无从得知
2. 生物识别本身并没有那么安全。根据 Apple 官方提供的数据，单个 Touch ID 在人群中的命中率约为五万分之一（安全性介于四位数字密码和五位数字密码之间）；单个 Face ID 在人群中的命中率约为一百万分之一（安全性相当于六位数字密码）。如果设置了多个指纹和替用人脸，安全性还将进一步降低。考虑熟练输入一个长度在 4-6 位的密码也不会花比几秒更长的时间，不用生物识别也是一种可接受的选择

正方：

1. 当然你可以 argue 说生物识别没有社会工程学方面的问题，所以比等价的数字密码还是要安全一些，这个我是同意的
2. 生物识别确实可以极大提升密码的安全性（密码长几位至少可以降低数十万倍的单纯碰撞概率），并且在重视安全性的系统中往往可以快捷停用

数字密码 or 复杂密码

反方：

1. 复杂密码的主要问题是引入了输入法这一额外的攻击面。有些手机甚至会在锁屏界面使用定制的第三方输入法。好一些的用安全键盘（通常运行在一个比较受限的沙盒环境中，且不会记录用户输入），但还是额外的攻击面；而数字键盘就简单的多，几乎没有攻击面

正方：

1. 但是数字键盘太大了，在不安全的物理环境中输入很容易出现窥屏问题，全键盘这个问题就小得多。并且只考虑单纯碰撞的话，显然未知长度的复杂密码比已知长度的纯数字更安全

如果是你，你会怎么选择，为什么？