關閉選單
  1. Home
  2. NEWS最新消息
顯示分類
2026.04.08
事件與威脅/資訊安全
重複發生的憑證事件的隱性成本

談到憑證安全,人們通常關注的是防止資料外洩。 IBM發布的《2025 年資料外洩成本報告》指出,每次資料外洩的平均成本高達 440 萬美元,這也不難理解。即使只避免一次重大事件,也足以證明大多數安全投資的合理性,但這個數字掩蓋了反覆發生的憑證外洩事件所帶來的更持久的問題。

帳戶鎖定和憑證洩露不會成為新聞頭條。它們只會以反覆出現的服務台工單、中斷的工作流程以及佔用寶貴時間的形式出現,使IT團隊無法專注於更重要的工作。單獨來看,每個事件似乎都微不足道,但累積起來卻會給IT團隊和整個企業帶來持續的負擔。

真正的成本不僅在於你可能避免的損失,還在於你已經面臨的日常混亂。

重複發生的事件意味著重複的損失

如果組織發現自己遭受基於憑證的攻擊或帳戶反覆被盜用,最直接的應對措施就是加強密碼策略。然而,許多組織難以在安全性和易用性之間取得平衡。一旦出現問題,就會求助於技術支援。

Forrester 估計,密碼重設佔所有服務台工單的 30% 之多,每次重設的成本約為 70 美元(包括員工時間和生產力損失)。對於中型企業而言,這是一筆與憑證安全事件直接相關的、持續且數額龐大的營運成本。

這類故障會不斷累積,導致 IT 團隊大部分時間都疲於應對各種突發狀況,而最終使用者則逐漸失去工作動力。企業承擔的成本很容易被忽視,但卻難以消除。

糟糕的密碼策略如何導致憑證安全事件

當使用者遇到「不符合複雜度要求」這類模糊的錯誤訊息時,他們只能猜測。他們究竟違反了哪一條規則?缺了什麼?幾次失敗後,大多數用戶會放棄理解策略,轉而尋找最快的解決方法。

人們為了避免再次經歷登入流程,往往會選擇稍作修改後繼續使用舊密碼,或以不安全的方式儲存憑證。這些行為本身並非惡意,但卻增加了憑證相關事件(例如帳戶被鎖定或帳戶被盜用)再次發生的可能性。

如果沒有採取任何形式的密碼外洩篩選措施,企業只能依靠基於時間的密碼重設來管理風險。但密碼並非因為過期就不安全,而是在洩漏後才變得不安全。

即使設定了較短的有效期,用戶仍然可以使用在資料外洩事件中已經洩露的憑證繼續登入。這些帳戶就像一個安全漏洞,隨時可能被利用,但如果沒有相應的監控機制,就等於聽天由命。

同時,IT團隊仍在應對不必要的重置所帶來的營運影響,卻未能解決根本風險。由於無法偵測到洩漏的憑證,企業只能疲於應對症狀而非根源,導致安全事件循環。Specops Password Policy等工具正是在這種情況下發揮作用。其「密碼外洩保護」功能會持續掃描您的使用者帳戶,並將其與包含超過 58 億個洩漏密碼的資料庫進行比對。如果某個密碼出現在我們的資料庫中,系統會發出可自訂的警報,提示使用者重設密碼,從而縮短攻擊者濫用這些憑證的機會視窗。

特種部隊密碼策略

強制定期重置密碼會加劇密碼問題

多年來,強制重設密碼一直被視為基本的安全措施。但實際上,它們往往弊大於利。當使用者被要求每 60 或 90 天更改一次密碼時,他們的行為就變得可預測了。人們只會對現有密碼進行細微的修改,或是在時間緊迫的情況下選擇容易記住的密碼。結果不是密碼強度提高了,而是密碼變得更脆弱。

除了會降低密碼強度之外,這些固定的密碼過期時間還會頻繁地干擾日常工作。每次重設密碼都可能導致帳號被鎖定,進而增加服務台工單的數量,消耗資源卻無法真正提升安全性。

正因如此,像NIST這樣的機構已不再強制定期更改密碼,而是僅在發現安全漏洞時才重設密碼。雖然完全取消密碼重置需要慎重考慮,但更新後的指南應該促使人們重新思考任意設定的密碼過期日期。

強密碼策略為身分安全奠定了基礎

人們很容易將密碼視為遺留問題,並在向無密碼身份驗證過渡的過程中盡量減少其使用。然而,密碼仍然是身分安全的基礎。如果這項基礎薄弱,其影響將波及各方面。

密碼外洩或過於簡單會在身分層引入風險,攻擊者可以藉此獲得合法存取權限並橫向移動,而不會立即發出警報。

透過實施嚴格且使用者友善的要求,並及早識別洩漏的憑證,您可以減少環境中存在的薄弱入口點。隨著組織不斷改進其身分驗證策略,這一點尤其重要。

無密碼系統仍然依賴強大的底層憑證。如果沒有穩固的基礎,就有可能將現有系統的弱點帶入新系統中。帳戶被竊用越少,事故發生率就越低,補救所需時間就越少,對日常營運的干擾就越小。

避免因重複的憑證事件而造成的損失

強大的密碼控制有助於降低風險。但真正的營運效益在於減少解決組織內持續不斷的事件所耗費的時間和資源。

考慮到更少的鎖定、更少的重置請求以及處理洩漏憑證所花費的時間減少,你會發現,這可以減少 IT 團隊和最終用戶的日常營運中斷。

如果您的環境中反覆出現憑證事件,並且這種情況變得越來越普遍,那麼就值得仔細檢查一下了。想了解 Specops 如何協助您加強身分安全?預約演示,親眼見證我們的解決方案如何發揮作用。

資料來源:https://thehackernews.com/2026/04/the-hidden-cost-of-recurring-credential.html
 
當企業焦點鎖定在防止大型資安事件時,往往忽略了頻繁發生的憑證問題所累積的隱形成本。