无题

最近，工作地所在的园区推出了一款 App，宣传的主要功能是获取园区动态以及扫码付款，感觉这样吃饭可以方便一些，因此就下载了。

应用的名字叫“园圈”，在 App Store 上搜索出来，底下是一个没有见过的开发商。我觉得还算正常吧，一般这种小范围应用，不都是外包的吗。只是，这使我对于这个应用的使用埋下了一丝戒心。（后来我搜索了一下这家公司，网站充斥着强烈的国企风）

进入应用，首先要我注册，这很简单，手机号码验证码啪啪啪就输完了。然后，它要求我输入一个密码。我毫不犹豫地就输入了常用密码，在即将要点下一步的时候，却犹豫了一下。

我在想的是：

虽然我已经在不知道多少地方用过这个密码，但是这一次我就是不想在这用了。其它很多手机应用，提供了手机号码就会让用户直接登录，然而这个应用却强制要我再填一个密码。这对于它来说太简单了，获得一个用户的手机号以及常用密码，它可以用来做任何事情。并且，更可怕的是，没有人会关注它。

于是我清除输入并换了一组密码。

接下来，它要求我输入一个手势密码。

我从来没有用过手势密码，但它没有提供跳过选项，因此就画了个圈以示敬意。

但是，我想，如果是在其它地方用过手势密码的用户，这里应该是毫不犹豫的吧。虽然得到这个貌似用处并没有像手机号加密码那么明显，但是，不论怎么说，这家公司又获得了一项用户信息。

并且，这个以园区动态发布以及小额支付为主要（或者说唯二）功能的应用，有什么必要同时使用密码与手势密码呢？不得而知。

历尽千辛，终于来到了主界面，界面其实就是支付宝和咸鱼的结合体，没什么特别的。动态都是一些领导视察之类的文章，于是我就点开了“付款”功能。

首先，我要同意一个用户协议。

然后，输入六位数的支付密码。

至此，这是它要求我输入的第三个密码。并且是较为敏感的六位数密码。

这样就很不好了。

然而，不知道为什么，我当时还是如实填写了。

一切都填好以后，我终于可以仔细查看一下它的付款功能。很简单，支付宝或者微信充值，然后二维码扫码支付，却缺少了重要的一项：余额转出。

这真 TM 是一个忧伤的故事，说到底还是跟充饭卡没什么区别，只要你用不完，那么充进去的钱就算是捐了。

唯一的区别是，我向这家公司无偿提供了我的手机号码，以及密码，手势密码以及支付密码。

我突然觉得，这是一波实实在在的送温暖行动。

这让我想起几个月前在一家米粉店付款的时候，我选择使用支付宝，从店家的微信公众号直接跳转到了一个要求输入账号密码的，UI 跟支付宝一模一样的页面。几乎是本能反应的我点了“使用浏览器打开”，果然这不是一个 alipay 域名下的网站。

然而，如果用户不是一个程序员，或者不熟悉互联网的点点滴滴，他有多大几率能注意到并且发现诸如此类的事情呢？