信息化觀察網(wǎng)

本文來自微信公眾號(hào)“GoUpSec”。

密碼在大多數(shù)組織的安全體系中扮演著至關(guān)重要的角色，但同時(shí)也暗藏著巨大的成本。例如技術(shù)支持服務(wù)臺(tái)需要花費(fèi)大量時(shí)間重置密碼和解鎖賬戶，或者密碼相關(guān)安全事件或數(shù)據(jù)泄露造成的巨額損失。

對(duì)于大多數(shù)組織而言，完全摒棄密碼并不現(xiàn)實(shí)，但我們可以采取措施提高密碼安全性并降低成本。以下，我們將探討密碼管理的隱性成本，以及如何在不犧牲安全性的前提下控制成本。

密碼管理的隱藏成本

盡管密碼管理是網(wǎng)絡(luò)安全的重要基礎(chǔ)工作，但人們往往忽視了密碼管理的隱性成本。低效率的密碼管理不但會(huì)消耗組織資源，還會(huì)導(dǎo)致生產(chǎn)力下降、安全風(fēng)險(xiǎn)增加、服務(wù)臺(tái)成本居高不下等大量隱性成本。

生產(chǎn)力損失：密碼問題（例如忘記密碼、密碼過期和重置密碼）會(huì)降低員工的工作效率，給組織帶來時(shí)間和金錢損失。彭博社報(bào)道稱，員工平均每年花費(fèi)11個(gè)小時(shí)用于記住或重置密碼。據(jù)Statista估計(jì)，由于密碼相關(guān)的生產(chǎn)力問題，組織平均每個(gè)員工每年會(huì)損失480.26美元的生產(chǎn)力成本。

服務(wù)臺(tái)和支持成本：密碼問題會(huì)增加服務(wù)臺(tái)的查詢量。Gartner的研究表明，20-50%的服務(wù)臺(tái)工單都與密碼重置相關(guān)，F(xiàn)orrester則估計(jì)每次重置密碼的成本約為70美元。對(duì)于擁有眾多員工的組織而言，這些成本很容易累積并造成巨大的財(cái)務(wù)負(fù)擔(dān)。

服務(wù)臺(tái)的人力成本也是一筆不小的支出，Salary.com報(bào)告稱，2023年美國(guó)服務(wù)臺(tái)技術(shù)人員的平均工資高達(dá)4.9萬美元。雖然在全球不同地區(qū)的人力成本存在差異，但總的來說密碼相關(guān)人力成本會(huì)給組織增加不少運(yùn)營(yíng)費(fèi)用。

安全風(fēng)險(xiǎn)：?jiǎn)T工使用弱密碼或重復(fù)使用密碼會(huì)增加組織遭受數(shù)據(jù)泄露的脆弱性。Verizon2023年數(shù)據(jù)泄露調(diào)查報(bào)告顯示，86%的數(shù)據(jù)泄露事件涉及被盜的登錄憑證。而數(shù)據(jù)泄露的財(cái)務(wù)影響也非常巨大，會(huì)帶來罰款、法律成本和聲譽(yù)損害等一系列負(fù)面影響。

IBM在2023年的一份報(bào)告中指出，數(shù)據(jù)泄露的平均成本為445萬美元，相比三年前增長(zhǎng)了15%。

如何降低密碼管理成本

IT團(tuán)隊(duì)可以采取一些措施來提高密碼安全性，同時(shí)降低和控制與密碼相關(guān)的成本。IT領(lǐng)導(dǎo)者可以通過采用多重身份驗(yàn)證(MFA)和單點(diǎn)登錄(SSO)技術(shù)、教育和培訓(xùn)員工、積極監(jiān)控和響應(yīng)潛在的身份驗(yàn)證問題，以及投資密碼管理軟件等方式來控制不斷上升的成本。

以下我們介紹一些最佳實(shí)踐，幫助企業(yè)提高密碼安全的同時(shí)降低密碼管理成本：

實(shí)施多重身份驗(yàn)證(MFA)

MFA在密碼之外增加了一層額外的安全保障。據(jù)《網(wǎng)絡(luò)犯罪雜志》報(bào)道，MFA可以阻止30%到50%的賬戶入侵攻擊。通過添加另一層保護(hù)，MFA可以減輕IT支持團(tuán)隊(duì)的負(fù)擔(dān)，降低需要人工干預(yù)的安全相關(guān)問題。

但是，請(qǐng)記住如今攻擊者已經(jīng)擁有多種繞過MFA的方法，因此密碼安全仍然是至關(guān)重要的第一步。

采用單點(diǎn)登錄(SSO)解決方案

SSO允許用戶使用一套憑證訪問多個(gè)應(yīng)用程序，從而減少密碼疲勞和頻繁重置密碼。這可以改善最終用戶體驗(yàn)，并通過減少服務(wù)臺(tái)工單數(shù)量來減輕技術(shù)人員的負(fù)擔(dān)。

不過，仍需警惕密碼重復(fù)使用的風(fēng)險(xiǎn)，因?yàn)閱T工可能會(huì)在個(gè)人網(wǎng)站和安全性較弱的應(yīng)用程序上重復(fù)使用主密碼，從而無意中泄露工作密碼。

教育和培訓(xùn)員工

最高效的密碼管理方法是打造重視保密和密碼安全的企業(yè)安全文化。

企業(yè)定期開展密碼管理最佳實(shí)踐方面的培訓(xùn)可以顯著減少弱密碼的使用。通過教育員工認(rèn)識(shí)強(qiáng)密碼的重要性以及密碼重復(fù)使用帶來的風(fēng)險(xiǎn)，可以提高整體安全性。

采取積極的安全意識(shí)教育和培訓(xùn)方法可以在組織內(nèi)樹立安全意識(shí)，并有助于從兩方面降低密碼管理潛在成本：

首先，它降低了發(fā)生代價(jià)高昂的安全漏洞的可能性。

其次，受過良好培訓(xùn)的員工通常需要更少的密碼重置服務(wù)，這可以減輕IT支持團(tuán)隊(duì)的工作量并節(jié)省運(yùn)營(yíng)成本。

投資密碼管理軟件

隨著時(shí)間的推移，投資密碼管理軟件最終會(huì)給企業(yè)節(jié)省大量成本，例如自助式的密碼重置解決方案可以幫助員工自動(dòng)強(qiáng)制使用更強(qiáng)的密碼，并持續(xù)監(jiān)控（和阻止）泄露的密碼。密碼管理器則可以幫助員工提高密碼強(qiáng)度，減少密碼復(fù)用，并降低密碼管理的“業(yè)務(wù)摩擦“和”生產(chǎn)阻力“。

安全廠商或企業(yè)開發(fā)或部署密碼管理安全軟件時(shí)，需要格外注意安全產(chǎn)品的用戶體驗(yàn)。作為（以非技術(shù)型用戶為主的）用戶端產(chǎn)品，密碼管理安全產(chǎn)品的用戶體驗(yàn)直接決定了產(chǎn)品的接受度和采用率（更少的不安全行為），甚至?xí)绊懙秸麄€(gè)組織的安全文化建設(shè)。

密碼管理軟件需要以用戶體驗(yàn)為導(dǎo)向而非工程導(dǎo)向。為了設(shè)定最優(yōu)的用戶體驗(yàn)基線，需要專業(yè)人員對(duì)密碼管理軟件進(jìn)行用戶體驗(yàn)研究，以了解安全驗(yàn)證、強(qiáng)密碼要求、重置密碼、頁(yè)面跳轉(zhuǎn)等對(duì)某個(gè)安全措施和工作流的影響。一旦對(duì)用戶的集體影響有了全面的了解，就可以開始制定產(chǎn)品戰(zhàn)略，在不損害整體安全性的情況下將密碼管理對(duì)業(yè)務(wù)的影響最小化。

總之，要想降低密碼管理的總體成本，企業(yè)需要改變固有的安全思維，采取積極主動(dòng)的密碼安全管理方法，堅(jiān)持安全文化與用戶體驗(yàn)驅(qū)動(dòng)的產(chǎn)品設(shè)計(jì)理念，防止小問題升級(jí)為代價(jià)高昂的安全事件。