有一個數字相當值得留意,根據市場研究機構Forrester Research今年初針對北美306家企業作的調查結果顯示,隨著新技術的發展,近三分之二企業的人員每日最少需使用六組密碼。
這是一個驚人又擾人的數字!現在仔細回想一天的工作中需要用到多少組密碼?手機開機、電腦開機、進入E-mail和協作系統、加入網路會議、登入客戶或廠商聯繫的線上即時訊息(IM)、公司系統資源與通訊平台、外部付費新聞網站等等,大概都脫離不了必須輸入密碼才能使用的模式。
然而太多的密碼卻容易造成企業IT服務系統中,過半數的支援服務都是重設密碼的需求,甚至嚴重影響企業的生產力和產生管理問題,難怪這些被訪的企業當中,有八成將「密碼問題」列為內部最首要的存取難題。顯然地,企業的傳統密碼機制已變成工作的絆腳石,不只無法跟上技術發展的速度,也未能符合全新的使用者需求。
雖然現今許多企業已用盡各種方法來管理既有的密碼建置機制、期限和登出系統的各種情境,以期讓舊有的密碼技術能繼續沿用,但結果反而讓企業的密碼政策變得越來越複雜,當然也增加了使用者在使用時的困難度;當遇到這種複雜度提升的問題而尋求較便捷的方法時,往住就是很多安全問題產生的開始。
Gartner集團處理過一個很有代表性的個案。一家全球知名的飲料製造商發現其內部所有IT支援服務電話中有三成與密碼問題有關;該公司每通支援服務電話的成本大約17.23美元,而整年下來密碼相關的問題共產生了90萬美元的成本。光憑他們的IT人員每年要處理五萬通以上密碼相關的支援需求,不難想像其員工和IT人員的沮喪。
為了解決這個問題,現在有很多安全軟體廠商已開始提供各種新式的密碼機制。另一方面,隨著雲端時代的來臨,因應雲端架構的認證機制也被用來協助企業降低成本和線上身分驗證的複雜度,例如VeriSign身分保護憑證等雙因素認證技術,正是結合針對用戶設定的密碼和實體驗證機制所產生的動態密碼的方法。這類解決方案以雲端架構為基礎,因此無需額外建置軟硬體,無論是成效或成本方面,皆已超越傳統密碼機制所能提供的功能。
過時的密碼驗證機制已不敷現今的應用環境,強大網路驗證機制且高整合能力的密碼機制,可同時簡化用戶的驗證程序和降低成本,才是企業目前真正需要。
(本文作者現任賽門鐵克台灣區總經理)