密码在大多数组织的安全体系中扮演着至关重要的角色,但同时也暗藏着巨大的成本。例如技术支持服务台需要花费大量时间重置密码和解锁账户,或者密码相关安全事件或数据泄露造成的巨额损失。
对于大多数组织而言,完全摒弃密码并不现实,但我们可以采取措施提高密码安全性并降低成本。以下,我们将探讨密码管理的隐性成本,以及如何在不牺牲安全性的前提下控制成本。
密码管理的隐藏成本
尽管密码管理是网络安全的重要基础工作,但人们往往忽视了密码管理的隐性成本。低效率的密码管理不但会消耗组织资源,还会导致生产力下降、安全风险增加、服务台成本居高不下等大量隐性成本。
生产力损失:密码问题(例如忘记密码、密码过期和重置密码)会降低员工的工作效率,给组织带来时间和金钱损失。彭博社报道称,员工平均每年花费11个小时用于记住或重置密码。据Statista估计,由于密码相关的生产力问题,组织平均每个员工每年会损失480.26美元的生产力成本。
服务台和支持成本:密码问题会增加服务台的查询量。Gartner的研究表明,20-50%的服务台工单都与密码重置相关,Forrester则估计每次重置密码的成本约为70美元。对于拥有众多员工的组织而言,这些成本很容易累积并造成巨大的财务负担。
服务台的人力成本也是一笔不小的支出,Salary.com报告称,2023年美国服务台技术人员的平均工资高达4.9万美元。虽然在全球不同地区的人力成本存在差异,但总的来说密码相关人力成本会给组织增加不少运营费用。
安全风险:员工使用弱密码或重复使用密码会增加组织遭受数据泄露的脆弱性。Verizon2023年数据泄露调查报告显示,86%的数据泄露事件涉及被盗的登录凭证。而数据泄露的财务影响也非常巨大,会带来罚款、法律成本和声誉损害等一系列负面影响。
IBM在2023年的一份报告中指出,数据泄露的平均成本为445万美元,相比三年前增长了15%。
如何降低密码管理成本
IT团队可以采取一些措施来提高密码安全性,同时降低和控制与密码相关的成本。IT领导者可以通过采用多重身份验证(MFA)和单点登录(SSO)技术、教育和培训员工、积极监控和响应潜在的身份验证问题,以及投资密码管理软件等方式来控制不断上升的成本。
以下我们介绍一些最佳实践,帮助企业提高密码安全的同时降低密码管理成本:
实施多重身份验证(MFA)
MFA在密码之外增加了一层额外的安全保障。据《网络犯罪杂志》报道,MFA可以阻止30%到50%的账户入侵攻击。通过添加另一层保护,MFA可以减轻IT支持团队的负担,降低需要人工干预的安全相关问题。
但是,请记住如今攻击者已经拥有多种绕过MFA的方法,因此密码安全仍然是至关重要的第一步。
采用单点登录(SSO)解决方案
SSO允许用户使用一套凭证访问多个应用程序,从而减少密码疲劳和频繁重置密码。这可以改善最终用户体验,并通过减少服务台工单数量来减轻技术人员的负担。
不过,仍需警惕密码重复使用的风险,因为员工可能会在个人网站和安全性较弱的应用程序上重复使用主密码,从而无意中泄露工作密码。
教育和培训员工
最高效的密码管理方法是打造重视保密和密码安全的企业安全文化。
企业定期开展密码管理最佳实践方面的培训可以显著减少弱密码的使用。通过教育员工认识强密码的重要性以及密码重复使用带来的风险,可以提高整体安全性。
采取积极的安全意识教育和培训方法可以在组织内树立安全意识,并有助于从两方面降低密码管理潜在成本:
- 首先,它降低了发生代价高昂的安全漏洞的可能性。
- 其次,受过良好培训的员工通常需要更少的密码重置服务,这可以减轻IT支持团队的工作量并节省运营成本。
投资密码管理软件
随着时间的推移,投资密码管理软件最终会给企业节省大量成本,例如自助式的密码重置解决方案可以帮助员工自动强制使用更强的密码,并持续监控(和阻止)泄露的密码。密码管理器则可以帮助员工提高密码强度,减少密码复用,并降低密码管理的“业务摩擦“和”生产阻力“。
安全厂商或企业开发或部署密码管理安全软件时,需要格外注意安全产品的用户体验。作为(以非技术型用户为主的)用户端产品,密码管理安全产品的用户体验直接决定了产品的接受度和采用率(更少的不安全行为),甚至会影响到整个组织的安全文化建设。
密码管理软件需要以用户体验为导向而非工程导向。为了设定最优的用户体验基线,需要专业人员对密码管理软件进行用户体验研究,以了解安全验证、强密码要求、重置密码、页面跳转等对某个安全措施和工作流的影响。一旦对用户的集体影响有了全面的了解,就可以开始制定产品战略,在不损害整体安全性的情况下将密码管理对业务的影响最小化。
总之,要想降低密码管理的总体成本,企业需要改变固有的安全思维,采取积极主动的密码安全管理方法,坚持安全文化与用户体验驱动的产品设计理念,防止小问题升级为代价高昂的安全事件。