×

“密码疲劳”成企业隐性成本 无密码认证方案受关注

商业 2026-01-31 商业现场 网络安全, 企业IT, 身份认证, 信息技术, 数字化转型 2 次浏览

richlovec 1500_400 (1)
 

密码疲劳成为普遍现象

在许多企业办公场景中,员工一天之内需要多次输入不同系统的复杂密码,频繁重复登录流程。这种被称为“密码疲劳”的现象,被业内视为现代企业的隐性生产力损耗和潜在安全风险。

一项全球调查显示,多数用户仍以密码作为主要身份验证方式。在远程办公、移动办公和多应用并行使用已成常态的背景下,企业依然依赖自20世纪60年代以来基本形态未变的密码机制,引发安全和效率双重担忧。

复杂密码未必带来更高安全性

在密码策略上,企业面临两难:要么放松复杂度要求,甚至出现以“Louvre”作为监控系统密码的案例;要么不断提高复杂度,要求混合大小写、数字和符号,频繁更换密码,并叠加多因素认证(MFA)。

这些措施本意在于提升安全性,但实践中往往带来相反效果。部分用户因忘记密保答案或无法获取认证链接而被系统锁定数日,也有用户为图方便,将敏感资料转存至个人云盘等非受控环境,增加数据暴露面。

与此同时,攻击手法也在演进。网络犯罪分子通过凭证填充、暴力破解等方式适应密码复杂度的提升,更常见的做法是绕过技术防线,直接针对密码使用者本身。例如,攻击者搭建仿冒登录页面收集凭证,或冒充合法用户致电IT帮助台,要求重置密码和多因素认证。据报道,针对MGM度假村和高乐氏的重大数据泄露事件中,攻击者即通过此类方式获取访问权限,并非“闯入”系统,而是“正常登录”。

人工智能放大身份攻击风险

人工智能技术的应用进一步加剧了密码相关风险。网络犯罪分子开始利用AI猜测密码、生成高度逼真的钓鱼邮件,甚至制作深度伪造语音,诱骗帮助台人员放行访问请求。传统以密码为核心的防护模式在此类攻击面前显得脆弱。

根据《2026年RSA ID IQ报告》,在过去三年中,69%的组织报告出现过身份相关安全事件,比上一年度调查上升27个百分点。这些事件带来的并非抽象数字,而是具体的财务损失、业务中断和声誉受损,其中相当一部分被认为本可避免。

在此背景下,企业一方面不断加码登录流程,员工却愈发难以管理各类凭证;另一方面,组织仍暴露在这些措施原本试图防范的攻击之下。

无密码认证被视为可行替代路径

业内观点认为,摆脱密码困境的一条现实路径是采用无密码认证。当系统中不再存在可被窃取的密码时,相关攻击面显著缩小,同时也减少了用户记忆、更新和反复输入密码的负担。

传统密码依赖“你知道的东西”,而无密码认证则通过两个或以上其他要素实现验证,包括“你拥有的东西”(如手机、硬件令牌)和“你是什么”(如面部或指纹特征)。目前常见的无密码方式主要包括以下几类:

1. 认证器应用与推送通知

用户输入用户名后,在受信任的移动应用上收到安全通知,通过匹配数字等方式确认登录。

  • 优点:在企业环境中应用广泛,依托用户已有的智能手机。
  • 缺点:要求用户持有可联网的智能手机,速度通常略慢于直接生物识别,且仍可能受到钓鱼等攻击影响。

2. “魔法链接”

系统通过电子邮件发送一次性登录链接,或通过短信发送验证码,用户点击或输入后完成登录,类似部分应用的“忘记密码”流程。

  • 优点:无需额外硬件或复杂配置,任何可访问邮箱的设备均可使用。
  • 缺点:虽形式上“无密码”,但安全性仍依赖邮箱本身,而邮箱往往仍由弱密码保护,易受钓鱼和拦截攻击。

3. 平台级生物识别

用户通过设备内置的指纹识别、面部识别等功能完成身份验证,如Face ID、Touch ID或Windows Hello。

  • 优点:便捷性和速度较高,用户已习惯用此方式解锁手机等设备。
  • 缺点:凭证与特定设备绑定,设备丢失或损坏时,对账户恢复机制提出更高要求。

企业级无密码方案的两大考量

在评估无密码认证方案时,有机构提出两个关键问题:

一是覆盖是否全面。 若方案仅适用于部分环境或用户群,企业仍需叠加其他方案,导致管理复杂。例如,有的方案可为Office 365等云应用提供无缝生物识别登录,却无法覆盖本地大型机或VPN等传统系统,用户在关键内部系统上仍需回退使用密码。理想方案应能跨云端、本地、边缘及传统环境,并兼容不同操作系统。

二是安全性是否“真正到位”。 抗钓鱼能力被视为无密码方案的核心趋势之一,有助于削弱最常见且影响较大的攻击路径。但仅具备抗钓鱼能力并不足够,企业还需关注防绕过、防恶意软件、防欺诈和防中断等能力。例如,如果攻击者仍可通过说服IT帮助台绕过无密码多因素认证,则整体防护效果将大打折扣。

逐步推进无密码转型

业内建议,无密码认证的导入通常难以一步到位,但在关键环节的应用可带来较快回报。企业可优先从最关键的业务系统或风险最高的用户群体入手,采用绑定设备的通行密钥,而非允许密钥在多设备间同步漫游的方式,以增强安全性。

在实施过程中,注册流程被视为关键环节。企业可通过身份验证和活体检测等步骤,确保录入的生物特征来自真实用户。同时,帮助台流程也需调整,引入双向验证机制:一方面通过设备提示确认来电者身份,另一方面在来电者屏幕上展示经验证的工作人员状态,以证明服务人员的合法性。

针对设备丢失等场景,企业被建议预先设计安全的恢复路径,采用预注册备份密钥或生物识别重新验证等高保障方式,而非回退到传统密码。部分方案还支持在用户首次注册应用时自动下发绑定设备的通行密钥,以减少操作步骤。

在转型推进过程中,企业可持续跟踪无密码认证在整体登录中的占比,并对照疑似账户泄露事件进行分析,以评估措施成效。

在密码疲劳普遍存在、身份攻击持续上升的背景下,通过减少对传统密码的依赖,企业有望在提升员工使用体验的同时,收窄网络攻击的主要入口。


分享:


发表评论

登录后才可评论。 去登录

标签云

人气上升榜

广告