調(diào)查顯示,，91％的人明知在多個(gè)賬戶上使用相同的密碼存在很大安全風(fēng)險(xiǎn)，但仍有66％的人在這么做,。

　　如今在網(wǎng)絡(luò)黑市購買目標(biāo)企業(yè)員工賬戶密碼幾乎成了網(wǎng)絡(luò)攻擊的標(biāo)準(zhǔn)操作，可以大大降低攻擊難度和風(fēng)險(xiǎn)。根據(jù)Verizon的《數(shù)據(jù)違規(guī)調(diào)查報(bào)告》，有81％與黑客相關(guān)的違規(guī)行為都利用了被盜密碼或弱密碼,，只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業(yè)網(wǎng)絡(luò)安全防御體系,。

　　IT安全從業(yè)人員都知道強(qiáng)身份驗(yàn)證和密碼管理良好習(xí)慣的重要性,，但由于可用性或易用性問題，密碼“衛(wèi)生習(xí)慣”很難養(yǎng)成,，而好的密碼管理解決方案則有助于企業(yè)填補(bǔ)弱密漏洞。

　　企業(yè)選擇合適的密碼管理解決方案需要考慮多種因素,。以下我們整理了幾位網(wǎng)絡(luò)安全專家對(duì)此的見解,。

　　Dashlane B2B增長負(fù)責(zé)人Simran Anand

　　密碼是企業(yè)網(wǎng)絡(luò)安全和風(fēng)險(xiǎn)管理鏈條中最薄弱的一環(huán)，因此選擇密碼管理器應(yīng)該是IT決策者的重中之重,。盡管這個(gè)問題在大多數(shù)人眼里似乎是顯而易見的：安全性（高級(jí)加密,、2FA等）、服務(wù)支持和價(jià)格,，但這里需要強(qiáng)調(diào)的是最終用戶的體驗(yàn),，這一點(diǎn)至關(guān)重要。因?yàn)橛脩舨捎寐嗜匀皇荌T部門最大的挑戰(zhàn),。在評(píng)估密碼管理工具時(shí),，只有17％的IT主管將用戶體驗(yàn)列入考核指標(biāo)。

　　因此,，毫不奇怪的是,，那些在公司中部署了密碼管理器的人報(bào)告員工采用率只有23％。對(duì)于那些希望為其公司保證安全流程的IT領(lǐng)導(dǎo)者而言，最終用戶體驗(yàn)必須是優(yōu)先事項(xiàng),。

　　密碼管理作為安全鏈中的一個(gè)至關(guān)重要的環(huán)節(jié),，不能因缺乏采用而導(dǎo)致效能大打折扣（僅告訴員工遵循良好的密碼習(xí)慣并不足以杜絕安全陋習(xí)）。為了使企業(yè)能夠利用下一代密碼安全性的好處,，他們需要確保其密碼管理解決方案易于使用,，并被所有員工采用。

　　LogMeIn首席信息安全官Gerald Beuchelt

　　未來很長一段時(shí)間,，全球的遠(yuǎn)程辦公將成為新常態(tài),，網(wǎng)絡(luò)犯罪分子將首先從安全衛(wèi)生習(xí)慣糟糕的員工身上下手。盡管企業(yè)和員工,，甚至包括高級(jí)管理層都知道密碼整體安全性中扮演著重要的角色,，但許多人仍在忽略最佳密碼規(guī)范做法，因此,，企業(yè)應(yīng)實(shí)施密碼管理解決方案來固化好的安全習(xí)慣和密碼規(guī)范,。

　　選擇密碼管理解決方案時(shí)主要關(guān)注以下幾點(diǎn)：

　　·能夠監(jiān)視不良的密碼衛(wèi)生習(xí)慣，并提供可視化的改進(jìn)措施,，以鼓勵(lì)更好的密碼管理,。

　　·在整個(gè)組織中的標(biāo)準(zhǔn)化和實(shí)施策略，以提供足夠的密碼保護(hù)強(qiáng)度,。

　　·提供一個(gè)安全的密碼管理門戶,，使員工可以方便地訪問所有帳戶密碼。

　　·提供有關(guān)潛在威脅的詳細(xì)安全報(bào)告,。

　　·使IT部門能夠?qū)徍擞脩艟哂械脑L問控制權(quán)限,，從而可以更改權(quán)限并鼓勵(lì)使用新密碼。

　　·與以前和現(xiàn)有的基礎(chǔ)架構(gòu)集成,，以自動(dòng)化和加速工作流程,。

　　·監(jiān)督用戶何時(shí)共享賬戶，以保持安全感和責(zé)任感,。

　　總之,，使用有效的密碼管理解決方案對(duì)于保護(hù)業(yè)務(wù)信息至關(guān)重要。尋找正確的解決方案不僅有助于改善員工的密碼行為,，還可以提高組織的整體在線安全性,。

　　Bitwarden首席執(zhí)行官M(fèi)ichael Crandell

　　員工每天在線工作時(shí)都需要記憶大量高強(qiáng)度密碼，無疑是一個(gè)巨大的挑戰(zhàn),。密碼管理器簡化了復(fù)雜密碼的生成,、存儲(chǔ)和共享，這是實(shí)現(xiàn)密碼安全性的必備條件,。

　　市場上有許多信譽(yù)良好的密碼管理器,，企業(yè)應(yīng)優(yōu)先考慮可跨平臺(tái)工作并且收費(fèi)合理的產(chǎn)品。企業(yè)還應(yīng)該考慮該解決方案是否可以部署在云中或本地。出于安全性和內(nèi)部合規(guī)性的原因,，某些企業(yè)通常會(huì)首選本地部署方式,。

　　無論是對(duì)于初學(xué)者還是高級(jí)用戶，密碼管理器都必須易于使用,。任何員工都應(yīng)該能夠在幾分鐘內(nèi)在其設(shè)備上啟動(dòng)并運(yùn)行,。

　　最近，許多企業(yè)已經(jīng)轉(zhuǎn)向遠(yuǎn)程工作模型,，這突出了在線協(xié)作的重要性以及在線共享工作資源的需求,。考慮到這一點(diǎn),，企業(yè)應(yīng)優(yōu)先考慮提供安全方法以在團(tuán)隊(duì)之間共享密碼的方案,，確保分散的遠(yuǎn)程團(tuán)隊(duì)中每個(gè)人的訪問安全。

　　最后,，可以嘗試尋找基于開源代碼開發(fā)的密碼管理器,。開源意味著源代碼可以由經(jīng)驗(yàn)豐富的開發(fā)人員和安全研究人員審核，他們可以識(shí)別潛在的安全問題,，甚至為解決這些問題做出貢獻(xiàn),。

　　今年6月份，蘋果公司發(fā)布了一組面向密碼管理器開發(fā)者（包括整個(gè)APP開發(fā)生態(tài)）的免費(fèi)資源和工具,。這些工具資源統(tǒng)稱Password Manager Resources,，目前已經(jīng)在Github上開源。解決了開發(fā)者的一個(gè)頭疼問題：密碼管理器生成的強(qiáng)密碼很多時(shí)候無法與網(wǎng)站密碼規(guī)則匹配,。（編者按：例如很多網(wǎng)站支持的密碼長度不一,，有的支持64+字符數(shù)的長密碼，有的僅支持不到20字符的短密碼）

　　1Password首席運(yùn)營官M(fèi)att Davey

　　65％的人會(huì)重復(fù)使用部分或全部賬戶的密碼,。通常,，這是因?yàn)樗麄儧]有正確的工具來輕松創(chuàng)建和使用強(qiáng)密碼，這就是為什么需要密碼管理器的原因,。

　　一個(gè)好的密碼管理器可讓您監(jiān)督對(duì)企業(yè)最重要的事情：來自誰的登錄賬戶，上次訪問特定項(xiàng)目的人員,，或您域中的哪個(gè)電子郵件地址已包含在違規(guī)行為中,。

　　密碼管理器還可以減輕管理員的負(fù)擔(dān)，能夠按組管理訪問,，委派管理員權(quán)限并大規(guī)模管理用戶,。根據(jù)企業(yè)的業(yè)務(wù)結(jié)構(gòu)，按項(xiàng)目,，位置或團(tuán)隊(duì)授予對(duì)信息的訪問權(quán)限是值得推薦的做法,。

　　您還需要考慮密碼管理器如何適合您現(xiàn)有的IAM/安全技術(shù)堆棧。一些密碼管理器與身份提供商集成，從而簡化了配置和管理,。

　　最重要的是,，如果您希望員工采用密碼管理器，請(qǐng)確保它易于使用：只有您的員工實(shí)際使用了密碼管理器,，其安全性才能發(fā)揮作用,。