本文來自微信公眾號“GoUpSec”。
密碼在大多數(shù)組織的安全體系中扮演著至關重要的角色,但同時也暗藏著巨大的成本。例如技術支持服務臺需要花費大量時間重置密碼和解鎖賬戶,或者密碼相關安全事件或數(shù)據(jù)泄露造成的巨額損失。
對于大多數(shù)組織而言,完全摒棄密碼并不現(xiàn)實,但我們可以采取措施提高密碼安全性并降低成本。以下,我們將探討密碼管理的隱性成本,以及如何在不犧牲安全性的前提下控制成本。
密碼管理的隱藏成本
盡管密碼管理是網(wǎng)絡安全的重要基礎工作,但人們往往忽視了密碼管理的隱性成本。低效率的密碼管理不但會消耗組織資源,還會導致生產(chǎn)力下降、安全風險增加、服務臺成本居高不下等大量隱性成本。
生產(chǎn)力損失:密碼問題(例如忘記密碼、密碼過期和重置密碼)會降低員工的工作效率,給組織帶來時間和金錢損失。彭博社報道稱,員工平均每年花費11個小時用于記住或重置密碼。據(jù)Statista估計,由于密碼相關的生產(chǎn)力問題,組織平均每個員工每年會損失480.26美元的生產(chǎn)力成本。
服務臺和支持成本:密碼問題會增加服務臺的查詢量。Gartner的研究表明,20-50%的服務臺工單都與密碼重置相關,F(xiàn)orrester則估計每次重置密碼的成本約為70美元。對于擁有眾多員工的組織而言,這些成本很容易累積并造成巨大的財務負擔。
服務臺的人力成本也是一筆不小的支出,Salary.com報告稱,2023年美國服務臺技術人員的平均工資高達4.9萬美元。雖然在全球不同地區(qū)的人力成本存在差異,但總的來說密碼相關人力成本會給組織增加不少運營費用。
安全風險:員工使用弱密碼或重復使用密碼會增加組織遭受數(shù)據(jù)泄露的脆弱性。Verizon2023年數(shù)據(jù)泄露調查報告顯示,86%的數(shù)據(jù)泄露事件涉及被盜的登錄憑證。而數(shù)據(jù)泄露的財務影響也非常巨大,會帶來罰款、法律成本和聲譽損害等一系列負面影響。
IBM在2023年的一份報告中指出,數(shù)據(jù)泄露的平均成本為445萬美元,相比三年前增長了15%。
如何降低密碼管理成本
IT團隊可以采取一些措施來提高密碼安全性,同時降低和控制與密碼相關的成本。IT領導者可以通過采用多重身份驗證(MFA)和單點登錄(SSO)技術、教育和培訓員工、積極監(jiān)控和響應潛在的身份驗證問題,以及投資密碼管理軟件等方式來控制不斷上升的成本。
以下我們介紹一些最佳實踐,幫助企業(yè)提高密碼安全的同時降低密碼管理成本:
實施多重身份驗證(MFA)
MFA在密碼之外增加了一層額外的安全保障。據(jù)《網(wǎng)絡犯罪雜志》報道,MFA可以阻止30%到50%的賬戶入侵攻擊。通過添加另一層保護,MFA可以減輕IT支持團隊的負擔,降低需要人工干預的安全相關問題。
但是,請記住如今攻擊者已經(jīng)擁有多種繞過MFA的方法,因此密碼安全仍然是至關重要的第一步。
采用單點登錄(SSO)解決方案
SSO允許用戶使用一套憑證訪問多個應用程序,從而減少密碼疲勞和頻繁重置密碼。這可以改善最終用戶體驗,并通過減少服務臺工單數(shù)量來減輕技術人員的負擔。
不過,仍需警惕密碼重復使用的風險,因為員工可能會在個人網(wǎng)站和安全性較弱的應用程序上重復使用主密碼,從而無意中泄露工作密碼。
教育和培訓員工
最高效的密碼管理方法是打造重視保密和密碼安全的企業(yè)安全文化。
企業(yè)定期開展密碼管理最佳實踐方面的培訓可以顯著減少弱密碼的使用。通過教育員工認識強密碼的重要性以及密碼重復使用帶來的風險,可以提高整體安全性。
采取積極的安全意識教育和培訓方法可以在組織內樹立安全意識,并有助于從兩方面降低密碼管理潛在成本:
首先,它降低了發(fā)生代價高昂的安全漏洞的可能性。
其次,受過良好培訓的員工通常需要更少的密碼重置服務,這可以減輕IT支持團隊的工作量并節(jié)省運營成本。
投資密碼管理軟件
隨著時間的推移,投資密碼管理軟件最終會給企業(yè)節(jié)省大量成本,例如自助式的密碼重置解決方案可以幫助員工自動強制使用更強的密碼,并持續(xù)監(jiān)控(和阻止)泄露的密碼。密碼管理器則可以幫助員工提高密碼強度,減少密碼復用,并降低密碼管理的“業(yè)務摩擦“和”生產(chǎn)阻力“。
安全廠商或企業(yè)開發(fā)或部署密碼管理安全軟件時,需要格外注意安全產(chǎn)品的用戶體驗。作為(以非技術型用戶為主的)用戶端產(chǎn)品,密碼管理安全產(chǎn)品的用戶體驗直接決定了產(chǎn)品的接受度和采用率(更少的不安全行為),甚至會影響到整個組織的安全文化建設。
密碼管理軟件需要以用戶體驗為導向而非工程導向。為了設定最優(yōu)的用戶體驗基線,需要專業(yè)人員對密碼管理軟件進行用戶體驗研究,以了解安全驗證、強密碼要求、重置密碼、頁面跳轉等對某個安全措施和工作流的影響。一旦對用戶的集體影響有了全面的了解,就可以開始制定產(chǎn)品戰(zhàn)略,在不損害整體安全性的情況下將密碼管理對業(yè)務的影響最小化。
總之,要想降低密碼管理的總體成本,企業(yè)需要改變固有的安全思維,采取積極主動的密碼安全管理方法,堅持安全文化與用戶體驗驅動的產(chǎn)品設計理念,防止小問題升級為代價高昂的安全事件。