密碼管理看似早已是「被解決的問題」,但數據說明並非如此。
根據美國電信業者 Verizon 發佈的年度資料外洩報告,超過八成與駭客入侵相關的資安事件,最初的突破口仍是遭竊或濫用的帳密。問題往往不在於密碼本身太弱,而在於圍繞密碼的整套系統如何儲存、共用、輪換與治理,這在多數組織內部都是尚未被完整建立的機制。
個人行為習慣,放大了組織層次的風險
使用者端的行為數據進一步說明了這層風險從何而來。消費者研究機構 All About Cookies 針對一千名美國成年人的調查顯示,82% 的人在常用密碼中至少使用了一項可被查找的個人資訊,例如寵物名字、生日或最喜歡的數字;59% 的受訪者曾發現自己的密碼出現在資料外洩事件中,其中竟有 41% 在密碼已遭公開曝光後仍繼續使用。
同時,73% 的人坦言對管理密碼感到不堪負荷,僅 34% 使用專門的密碼管理工具,另有 51% 會與他人共享至少一類帳號的登入資訊。
這些習慣一旦被帶進職場,風險就從個人層次放大為組織層次。對個人而言,一套好的密碼管理器就足以解決大半問題;但一旦超出單一使用者,複雜度便成倍增加。
團隊需要在不暴露明文的前提下共用憑證;員工離職時,存取權限必須即時且全面地撤銷;SOC 2、HIPAA、PCI DSS 等法遵框架更要求完整的稽核軌跡,記錄誰在何時、從何處存取了什麼——這些需求在多數組織內部往往沒有對應的機制,於是就出現了實務上最常見的景象:行銷部門把共用帳密存在試算表、開發團隊將資料庫連線字串散落在 CI/CD 設定檔、客服透過即時通訊軟體傳遞 CRM 登入資訊。
每一處都是尚未引爆的破口,真正的問題從來都不是密碼強度,而在於缺乏一套集中治理密碼的管理機制。
傳統 PAM 工具解決了問題,但門檻太高
傳統上,能處理這類治理需求的是特權存取管理(PAM)平台,但老牌 PAM 工具往往伴隨高昂的導入成本與動輒數月的部署週期,讓許多組織望而卻步。
網路安全公司 Keeper Security 選擇了不同的路徑:從消費級密碼管理出發,向上延伸至企業憑證治理、特權存取與機密管理,讓同一套架構同時涵蓋日常帳密與正式環境的基礎設施憑證。
這套架構的信任基礎是零知識(zero-knowledge)設計:金鑰庫的加解密完全在使用者裝置端進行,金鑰由主密碼衍生,Keeper 的伺服器自始至終接觸不到未加密的資料,即使其基礎設施遭入侵,攻擊者也無法取得明文憑證。
產品面上,其整合平台 KeeperPAM 將多項原本需要分別採購的能力收攏在一起:密碼與通行金鑰管理處理基本的產生、儲存與自動填入;機密管理(secrets management)保護 API 金鑰、資料庫憑證與憑證檔等機器對機器的憑證;Keeper Connection Manager 提供不暴露憑證、也無須 VPN 的遠端桌面與 SSH 存取;工作階段錄影則為稽核與法遵留存特權操作紀錄。
Keeper Security 今年也發表 KeeperDB,將存取延伸至主流資料庫系統,定位已超出密碼管理器的範疇。企業方案每使用者每月數美元,相較傳統 PAM 的六位數導入費用門檻較低,但成本比較多出自原廠論述,實際差距仍須以自身環境驗證。
這類平台適合誰?
這類整合型平台並非人人適用,判斷的關鍵在於需求的複雜度,而不只是使用者的規模。
若只是單一使用者需要保存數十組密碼,免費工具或瀏覽器內建的管理功能已經足夠。整合型憑證治理平台的價值,要在需求超出「單純儲存」時才會顯現:需要角色型存取控制、需要在不暴露明文的前提下跨團隊共用憑證、需要為法遵留存稽核紀錄,或需要把基礎設施機密與日常密碼納入同一套治理框架時。
對中小企業而言,入門級的商用方案提供了以較低複雜度取得企業級防護的切入點;對已在評估 CyberArk 或 BeyondTrust 等傳統 PAM 的大型組織,KeeperPAM 這類工具或許可作為部署較快、成本較低的替代選項納入比較。
治理能力,才是真正拉開差距的地方
密碼管理的問題被解決了嗎?答案取決於企業如何定義這個問題。如果只是把帳密安全地存起來,市面上的工具早已綽綽有餘。
真正拉開差距的是治理層次的能力,也就是當資安稽核人員問起「這組憑證被誰拿過、在什麼時間點、之後做了哪些操作」,系統能否在幾分鐘內給出完整答案。做不到這一點,再強的加密與再長的密碼,都只是把風險往後遞延。
在挑選這類整合平台時,零知識架構應被視為信任的底線:唯有服務商自己也無法接觸明文資料,集中管理才不會反過來變成集中風險。
【推薦閱讀】
◆ AI 生成的密碼為何不安全?「看起來複雜」才是最大漏洞
◆ 一組密碼用十個網站導致被駭,或許網站開發也要負點責任?
◆ 多重身份驗證 MFA、密碼已過時?調查揭 92% 受訪資安長正在做「無密碼身份驗證」
*本文開放合作夥伴轉載,參考資料:《TNW》、《all about cookies》,圖片來源:Unsplash
(責任編輯:鄒家彥)
