Keeper 的“一次性共享”功能通过创建一个安全的设备绑定链接来实现，该链接允许临时访问记录，同时确保凭据处于加密状态并得到全面保护。 这种方法能够实现快速、安全的共享，而无需接收方创建 Keeper 帐户或获得对保管库的持续访问权限。

这篇博客解释了什么是“一次性共享”，它与标准的 Keeper 共享有何不同，以及它是如何逐步运作的。

Keeper 中的“一次性共享”是什么？

Keeper 一次性共享可让您在限定时间内与任何人安全共享记录，无需接收方创建 Keeper 账户。 它通过对凭据和文件进行端到端加密和全面保护，为电子邮件或信息传递提供了一个安全的替代方案。 访问权限与设备绑定，并且在您选择的时间自动过期。

启用后，“一次性共享”还支持双向共享，允许接收者编辑记录字段和上传文件。 任何更新都会安全同步回发送者的 Keeper Vault 中的原始记录，直到访问权限过期或被撤销。

一次性共享的工作原理

以下是“一次性共享”工作原理的分步说明：

第 1 步：选择要共享的记录

打开您的 Keeper Vault，选择您想要共享的记录。 在记录视图中，点击“共享”并选择“一次性共享”。

第 2 步：配置共享设置

选择“一次性共享”链接的有效期。 即使您忘记手动撤销访问权限，记录也会在您选择的时间自动过期。

在此阶段，您还可以通过选择允许收件人编辑记录字段和上传文件来启用双向共享。 这使得收件人能够添加信息或附件，这些内容会安全地同步回您的原始记录。

第 3 步：创建并发送共享链接

配置完成后，创建“一次性共享”链接。 您可以：

• 复制链接
• 发送共享邀请
• 让收件人扫描 QR 代码

第 4 步：接收人打开链接

当收件人打开链接时，记录会在其设备浏览器中安全呈现。 记录数据使用 256 位 AES 加密技术在本地设备上解密，所有请求均使用椭圆曲线加密技术 (ECC) 进行加密签名。

第 5 步：设备绑定和访问控制

一旦打开链接，它就会被设备锁定。 只有用于打开链接的原始设备才能访问记录。 如果稍后在其他设备上打开该链接，则会拒绝访问。

这可确保即使链接被转发或电子邮件账户遭到入侵，您的数据仍然受到保护。

第 6 步：双向更新

如果启用了双向共享，收件人可以：

• 编辑记录字段
• 上传文件
• 添加注释或所需信息

当收件人点击“保存”时，所有更改都会自动且安全地同步回发件人保管库中的原始记录。 双方可以继续合作，直到共享到期或访问权限被撤销。

第 7 步：自动失效

一次性共享链接总是在配置的持续时间之后过期。

• 如果链接从未打开，则会过期失效
• 如果链接已打开并绑定到设备，则访问权限将在相同的时间窗口后过期

一旦过期，将无法再访问该链接，也不允许进行进一步更改。

在 Keeper 中开始使用“一次性共享”

Keeper 的“一次性共享”功能适用于所有 Keeper 计划，无需额外设置，几秒钟内即可使用。 它提供了一种安全的替代方案，以取代不安全的凭据共享方法，同时保持完全的控制和可见性。 通过将“一次性共享”与双向共享以及 Keeper 的零知识架构相结合，组织可以在不牺牲安全性的情况下放心地共享访问权限。

立即开始免费试用，了解“一次性共享”如何帮助个人和组织安全地共享凭据。

Keeper 的 Slack 工作流用安全的即时（JIT）访问请求与审批机制取代了 Slack 中高风险的密码共享。 借助 Keeper Slack 应用程序，员工可直接在 Slack 中请求访问记录、共享文件夹及资源，无需再以明文方式不安全地共享密码或密钥。

继续阅读，了解 Slack 中密码共享如何危及组织安全，以及 Keeper Slack 集成带来的安全优势。

Slack 中密码共享为何会让组织面临风险

Slack 是一款有效的协作工具，但并非为处理敏感信息（尤其是密码）而设计的安全系统。 尽管安全性有限，许多团队仍因方便与快速而在 Slack 频道或聊天中共享凭证。 通过 Slack 传递敏感信息的做法，会增加组织面临的安全风险。 以下列出了在 Slack 中共享凭证所带来的主要风险：

Keeper 的 Slack 应用程序如何替代 Slack 密码共享

Keeper Slack 应用程序为在 Slack 频道或聊天中不安全共享密码提供了安全可靠的替代方案。 用户无需将凭证直接粘贴到消息中，而是可请求访问敏感资源，全程无需查看或处理凭证。 该应用程序与 Keeper 安全架构无缝集成，同时保持零知识加密，确保对敏感工作流的全面掌控。 所有操作均在 Slack 内完成，请求实时发送给相关审批人，无需切换工具即可直接批准或拒绝访问。

Keeper Slack 集成支持完整上下文的访问请求，包括访问理由及所需时长。 团队可生成一次性共享链接，该链接自毁且限时访问，非常适合第三方供应商、承包商或紧急场景使用。 此外，Keeper Slack 集成可实时处理特权访问审批，例如终端特权管理器或 SSO 云设备审批，无需离开 Slack。

Keeper 在 Slack 的主要优势

使用 Keeper Slack 应用程序，用户可在不影响效率与协作的前提下保持严格访问控制，保障现代团队安全沟通。 将 Keeper 与 Slack 集成的主要优势包括：

• 避免凭证存储在 Slack 消息中：密码不会以明文暴露或共享，从而降低未经授权访问风险。 无论用户需要一次性登录第三方工具，还是临时访问文件夹，Keeper 均可通过 Slack 提供，确保敏感信息安全。
• 流程简化、无延迟：通过将安全访问工作流直接集成到 Slack，Keeper 避免凭证出现在聊天或无关频道。 用户可更快速获得访问权限，管理员可实时审批，无需切换工具或手动协调。
• 支持 JIT 访问与全面可见性：每个请求与审批均有记录、限时执行并遵循政策，符合内部安全及合规标准。

何时使用 Keeper Slack 应用程序

Keeper Slack 集成帮助组织杜绝高风险密码共享，同时优化安全访问工作流。 其常见使用场景包括：

使用 Keeper Slack 审批工作流掌控访问权限

在 Slack 中共享密码虽便利，但若没有 Keeper 等安全集成，将带来长期安全风险，而现代组织完全可轻松规避。 Slack 设计用于协作，而非管理敏感信息（如特权凭证）的访问。 Keeper 提供安全替代方案，将凭证移出 Slack 消息，同时保持团队所需的高效与灵活性。 Keeper 无需干扰团队现有工作方式，即可为组织提供完整审计、精细化控制及实时审批流程，涵盖访问请求和密码共享。

浏览我们的文档，了解如何部署 Keeper Slack 方案，立即杜绝在 Slack 环境中进行不安全的凭证共享。 想向我们的安全专家深入了解？申请演示。

随着通行密钥成为消费者和企业应用程序身份验证的新标准，Keeper 提供了一种集中且安全的方式来管理它们，同时还能管理传统密码、机密和其他重要凭据。

在本博客中，我们将逐步介绍如何在 Keeper 中创建和管理通行密钥。

什么是 Keeper 中的通行密钥管理？

Keeper 中的通行密钥管理指的是直接从 Keeper Vault 创建、存储、组织和使用通行密钥的能力。 通行密钥不再依赖可重复使用、被盗且易受网络钓鱼攻击的密码，而是使用公钥加密技术，并通过生物识别或设备 PIN 码来解锁。

通过 Keeper，通行密钥会安全地存储在您的零知识保管库中，自动与正确的网站或应用关联，并在您需要登录时通过 KeeperFill^® 提供。

如何在 Keeper 中创建和管理通行密钥

使用 Keeper 创建和使用通行密钥旨在让人感觉简单直观。 以下是关于如何在 Keeper 中创建和管理您的通行密钥的分步指南。

步骤 1：打开受支持的网站或应用登录流程

导航到支持通行密钥的网站的账户设置，并找到创建通行密钥的选项。

步骤 2：选择“创建通行密钥”

点击“创建通行密钥”按钮或网站提供的类似选项。

此时，Keeper 会通过 KeeperFill 拦截请求，并提示您将通行密钥保存到保管库中。

步骤 3：在设备上确认生物识别信息或 PIN 码

使用设备的生物识别身份验证或 PIN 码来验证身份。 此步骤可确保只有您才能创建和使用通行密钥。

第4步：将通行密钥保存到 Keeper

出现提示时，确认是否要将通行密钥存储在 Keeper 中。 通行密钥已加密并已存储在您的保管库中。 保存后，通行密钥将显示为 Keeper 记录中的一个字段。

每个通行密钥记录都包含关键元数据，例如：

• 通行密钥的创建日期
• 与账号关联的用户名
• 依赖方，例如网站或应用程序

通行密钥记录可以归入文件夹，与密码一起管理，并在适当情况下与其他用户安全共享。

第 5 步：使用 Keeper 的通行密钥登录

返回到支持通行密钥登录的网站时，选择“使用通行密钥登录”或类似选项。 KeeperFill 将检测到该请求并提示您使用已存储的通行密钥。

确认生物识别信息或设备身份验证后，您将立即登录，无需输入密码。

开始使用 Keeper 中的通行密钥管理

Keeper 将通行密钥与密码存储在同一个保管库中进行管理，帮助用户和组织自信地向无密码身份验证过渡。

立即试用 Keeper 中的通行密钥管理，看看安全身份验证可以多么轻松便捷。

特权访问管理（PAM）在保障这一新环境安全中发挥着至关重要的作用。 若能有效实施，组织可更高效运作、更广泛协作，并在不增加风险的情况下拓展新市场。 现代 PAM 将访问权限与驱动收入的系统和工作流程紧密对齐，从而将安全访问转化为业务优势。

现代企业中访问权限的变化

现代企业已不再局限于防火墙的保护之下。 员工、供应商、合作伙伴与客户在云平台、软件即服务（SaaS）环境及共享系统中频繁互动。 静态凭证、VPN 及传统 PAM 解决方案并非为分布式、云优先的环境而设计。

在无边界的环境下：

• 交易成败取决于合作伙伴上线的速度
• 项目的成败取决于访问权限响应的速度
• 市场拓展依赖于可靠的协作关系

现代 PAM 支持按需、基于角色的访问，确保用户仅在需要时获得所需权限，并在限定时间内使用。 商业效益立竿见影：延迟减少、集成成本降低，收入实现更快。

支持可扩展的协作

业务增长越来越依赖组织外部——包括供应商、技术合作伙伴、集成商及平台。 然而，传统访问模式常因手动预配、权限过宽及基于风险的限制而拖慢这些合作关系。

适宜的 PAM 解决方案可实现：

• 快速引导第三方上线，同时避免不安全的凭证共享
• 与商业协议保持一致的时限访问
• 对合作伙伴活动实现集中可视化

由此可降低协作成本，并加快从协议签署到执行的进程。 交易更快达成，合作关系更易扩展，运营成本不会随收入同比增长。

为云计算速度优化的访问

随着组织逐步迁移出本地数据中心，公共云平台现已支撑核心 IT 运营。 基础设施可在数秒内部署，但访问权限往往滞后。 这种脱节产生了隐藏成本，从而减缓创新步伐。

现代 PAM 通过以下方式，使访问权限与云运营节奏保持同步：

• 消除会拖慢团队进度并增加风险的常设权限
• 无需人工审批，即可支持 DevOps 和平台团队
• 减少直接影响收入的停机与配置错误

对高管而言，其价值显而易见：交付更快、干扰更少，同时实现更高的云投资回报率。

支撑灵活劳动力的扩展

全球化劳动力已非特例，而是常态运营模式。 同时，许多组织需应对周期性需求、短期项目、并购以及持续的转型工作。

现代 PAM 解决方案通过以下功能支持这种环境：

• 无需 VPN 依赖即可从任何地点安全访问特权
• 跨地区、跨时区保持治理一致性
• 快速入职与离职，与项目或高峰需求同步

这种灵活性让组织在不增加长期成本的情况下扩大运营规模，同时保护利润并最大化机会。

实践中的高性能案例：Williams F1

Atlassian Williams F1 车队与 Keeper Security 的合作示例，展示了特权访问如何在真实竞争环境中提升团队绩效。 Williams 在 20 多个国家运营，其员工无论地理位置、设备或网络如何，都需获得一致且安全的关键系统访问权限。 传统访问工具难以支撑这一运作模式。 配置和取消配置的工作流程缓慢且资源密集，凭证常随设备携带，增加了风险。

KeeperPAM® 帮助 Williams 集中管理和保护特权凭证，根据比赛与工程周期授予基于角色的访问权限，并在团队调整时自动完成配置与取消配置。 由此实现了运营效率提升、全球一致性增强，并提升了团队信心。

Williams F1 案例表明，现代 PAM 不仅仅是防御工具，它还能直接提升性能、协作效率与运营敏捷性。 对于追求数字化转型、全球扩张、快速项目交付或生态系统整合的组织，KeeperPAM 可将特权访问与这些目标直接对齐。

首席信息安全官的新职责

首席信息安全官的角色已从单纯保护资产，转向支持业务速度、安全协作及促进增长的访问管理。

KeeperPAM 支撑这一角色转型。 它不仅是安全产品，更是一个将特权访问与现代业务成果紧密结合的平台。

在无边界环境下，将访问权限视作业务运营组成部分（而非仅限 IT 部门）的组织，更能灵活应对变化并实现增长。

继续阅读，了解 Keeper 的 Slack 工作流集成具备哪些功能、其工作原理，以及它能为您的组织带来哪些优势。

Keeper Slack 工作流集成是什么？

Keeper 的 Slack 工作流集成是一款安全的零知识网络安全解决方案，可将访问请求与审批功能直接嵌入团队日常沟通协作所用的 Slack 平台。 Keeper 的 Slack 集成可帮助组织实施零常驻权限 (ZSP)，确保仅在必要时才对敏感凭据和系统发起访问申请、完成审批并授予限时访问权限。

Keeper 的 Slack 工作流集成并非云托管审批服务，而是直接与 Keeper Vault 协同工作，管理各类访问请求，包括标准密码管理器记录和共享文件夹。 要启用安全访问请求功能，Keeper Slack 工作流集成需搭配 Keeper Secrets Manager 或 KeeperPAM 许可证。 在 Slack 中发起的请求会安全传递至 Keeper Commander 并由其执行，该组件由客户自行托管，以保障端到端加密及 Keeper 的零知识架构。 Slack 永远不会访问记录本身，只会交换加密的审批元数据。

Keeper Slack 应用程序的工作原理

Keeper Slack 集成遵循安全的请求-审批流程，通过客户托管的工作流将 Slack 与 Keeper 相连，确保仅在获得批准且不泄露敏感数据的前提下授予访问权限。 以下是 Keeper Slack 集成的工作原理：

为什么使用 Keeper 的 Slack 工作流集成？

Keeper 的 Slack 工作流集成能帮助组织在不干扰现代团队工作模式的前提下，保障访问安全。 通过将策略驱动的审批功能直接嵌入 Slack，Keeper 不仅提升了安全性，还提高了工作效率，同时保持其零知识架构特性，自然融入用户的日常工作习惯。

坚守零知识原则

Keeper 的零知识安全架构确保敏感数据绝不会泄露给 Keeper 或 Slack。 这使得机密始终保持端到端加密状态，仅在用户自身的基础设施内进行处理，确保用户对特权凭据的控制权。

提升工作效率

将 Keeper 与 Slack 集成后，安全访问请求与审批可在开展工作的场景中直接完成。 用户与审批者无需在多个系统或保险库之间切换，可直接在 Slack 中发起、审核并批准访问请求。 这种便利性减少了工作阻碍，帮助团队在不牺牲安全性的前提下提升工作进度。

降低风险敞口

Keeper 的 Slack 工作流集成通过取消常驻权限及不安全的凭据共享行为，强制执行最低特权原则与即时访问 (JIT) 机制。 访问权限仅在获得批准后才会授予，且仅包含完成工作所需的最低权限，到期后自动撤销。

适配现有工作流

Slack 是许多团队日常协作沟通的常用工具。 由于 Keeper 与 Slack 无缝集成，因此无需专门培训用户使用新的审批工具。 这降低了推广难度，确保组织内各团队统一遵循流程，减少不安全的变通操作。

设计方案内置可审计特性

每一次访问请求、审批及执行操作都会在 Keeper 中自动记录。 这有助于安全团队全面掌握相关操作情况，为合规达标及事件响应提供支持。

全程自动化

Slack 工作流可配置为从请求发起到执行的全流程自动化。 要启用该服务，Keeper 的 Slack 集成需搭配 Keeper Secrets Manager 或 KeeperPAM。 使用 Keeper Secrets Manager 时，无需手动处理即可安全检索配置数据与机密，从而降低配置错误的风险。

将安全访问控制引入 Slack

现代组织已无法依赖分散的工具或手动方式处理安全访问请求与审批。 Keeper 的 Slack 集成将访问请求、审批与执行整合至统一的安全工作流中，且不影响团队既有的工作方式。 通过融合 JIT 访问与零知识加密技术，Keeper 可无缝集成至 Slack，帮助组织减少未授权访问，提升工作效率。

如需了解 Keeper 的自托管 Slack 工作流如何适配您的组织，请查阅设置文档，并立即在 Slack 中部署安全访问审批功能。 想向我们的安全专家了解更多信息吗？立即申请演示。

Keeper Security Government Cloud（KSGC）平台已通过 FedRAMP® High 基线授权，使联邦民用机构能够按照 FIPS 199 与 FedRAMP High 标准，保护高影响级别的非机密数据。 “高影响”级别适用于一旦发生未经授权访问或系统中断，便可能对机构运营、资产或个人造成严重甚至灾难性后果的系统。 在 2022 年 8 月获得 FedRAMP Moderate 授权的基础上，此次最新成就进一步彰显了 Keeper 持续满足美国联邦最高级别网络安全标准的承诺。

重磅推出 Keeper Slack 应用程序：无需离开工作区即可发起与审批工作流

Keeper Slack 应用程序将 Keeper Commander 直接集成至团队协作环境，在保持零常设权限的前提下，实现更高效的凭证请求与审批工作流。 通过在自有基础设施中托管 Slack 代理与 Commander 服务模式，您可在零知识、端到端加密的前提下，全面掌控数据与访问权限。 该应用程序支持多种工作流类型，包括记录与文件夹访问请求、一次性共享、Endpoint Privilege Manager 权限提升审批以及 SSO Cloud 设备授权，全部可在 Slack 内完成。 这一集成方案打造了更快速、更安全的审批流程，同时提升整体工作效率与安全防护水平。

推出 Keeper 警报与 ServiceNow 安全事件响应（SIR）模块之间安全、高效的集成方案

Keeper 的 ServiceNow ITSM 集成使企业客户能够集中管理并响应 Keeper 生成的安全警报，通过自动化方式完成警报的接收、转换，并在 ServiceNow 中创建安全事件工单。 这一集成帮助安全团队保持全程可见性，提升响应速度，并确保 Keeper Security 警报能够在现有的 ServiceNow SIR 工作流程中得到一致、高效的管理。 借助 Keeper 提供的引导式配置流程，企业可轻松完成身份验证设置、数据摄取验证，确保端到端运行顺畅，全程无需手动编码。

通过 Keeper 的自动化命令，企业可将复杂、多步骤的流程自动化，显著简化管理类工作流

自动化命令为组织内部用户提供了一种统一、高效的方式，用于自动完成凭证的创建与配置。 管理员只需一次 Keeper Commander 操作，即可创建 PAM 用户、应用凭证轮换策略，通过 Keeper Gateway 立即更新密码，并借助一次性共享链接安全地分发凭证。 最终形成了一套可重复、低错误率的工作流，不仅加速员工入职，还能确保始终遵循安全最佳实践。

Keeper Connection Manager 更新，带来更智能的许可证管理与更强大的终端支持

Keeper Connection Manager（KCM）2.22.0 版本新增主动式许可证到期提醒，可在许可证临近到期时及时通知管理员。 同时，通过支持 VT100 风格的功能键与数字键盘控制台代码，进一步扩展了终端兼容性，覆盖更广泛的 CLI 应用场景。 此外，在 2.23 版本原生多标签页功能上线前，我们通过将新标签页和窗口重定向至主框架，进一步优化了远程浏览器隔离（RBI）体验。

全新的集中式保险库通知中心与更简化的密码导入体验

Keeper 全新的保险库通知中心打造了一个安全的应用程序内管理枢纽，可集中查看和管理安全警报、访问请求、设备管理等各类通知。 所有通信信息集中呈现，一目了然，用户只需一次点击即可快速审核并批准或拒绝共享请求及新设备登录尝试。 同时，现可更轻松地从网页浏览器（如 Safari、Chrome、Firefox）、其他密码管理器，或文本文件（.csv、.xls、.tsv）中直接导入现有登录信息和密码。 本次更新还带来了全面升级的引导式导入体验，支持上传密码，并在精简的字段映射界面中查看、编辑和自定义新记录在保险库中的呈现方式。

KeeperPAM 连接中的会话可见性全面增强

Keeper 连接管理器（KCM）现可在启动 PAM 连接时显示完整的会话详情，帮助管理员一目了然地跟踪和管理多个会话。 每个活跃会话都会显示存储在本地的关键元数据，包括标题、主机/地址、用户名、端口、协议、持续时间、网关及录制状态，尤其适用于并发连接较多的环境，便于快速识别与审计。

在移动设备上无缝切换账户并安全共享 WiFi 密码

Android 17.4 版本与 Keeper 今年早些时候的 iOS 更新保持一致，新增“WiFi 登录”记录类型，大幅简化 WiFi 密码的创建与共享流程。 该记录类型支持生成可共享的二维码，他人扫描后即可自动加入 WiFi 网络。 此外，用户呼声极高的账户切换功能现已同时登陆 iOS 与 Android 平台！ 现在，您可以在不退出当前会话、无需反复输入登录凭证的情况下，轻松在个人账户与企业账户之间无缝切换。 此次更新不仅提升了使用便捷性，同时也有力支持组织级的数据隔离与管理策略。 此外，我们还在 Android 平台进行了多项性能与可用性优化，通过一系列细节改进进一步提升用户体验，包括提供实时连接与同步反馈的保险库状态指示器，以及可快速复制记录的功能，帮助您在创建相似条目时节省宝贵时间。

Commander SuperShell：专为终端打造的本地保管库浏览器

Keeper Commander 现已集成 SuperShell——一款全屏终端用户界面（TUI），将强大的保管库管理功能直接带入命令行，采用 vim 风格键盘导航，专为开发者和高级用户优化操作体验。 分割窗格界面支持实时增量搜索、一键复制密码和凭证、自动显示 TOTP 代码及倒计时，并提供灵活视图模式，可在记录的标准视图和原始 JSON 表示之间自由切换。 SuperShell 可让您在终端内快速、高效地访问保管库，无需切换界面。 在 Keeper Commander 中启动 SuperShell（需 17.2.2 或更高版本），体验专为终端工作流程打造的键盘优先保管库管理。

在 Keeper Gateway 上启用高可用性扩展功能

Keeper Gateway 支持 KeeperPAM 功能，包括连接管理、隧道、资源发现及凭证轮换。 Keeper 新增 HA Gateway 扩展功能，允许多个网关实例通过共享配置并行运行。 这些实例组成一个网关池，通过将 PAM 工作负载高效分配至多个网关实例，提升系统可靠性并支持更多并发连接。 此功能确保对关键资源的持续访问，同时将停机时间和性能瓶颈降至最低。

Commander CLI 的多项功能

Keeper Commander 正在持续优化。 以下是最新新增的命令：

• pam gateway set-max-instances－在 Keeper 网关上启用缩放功能
• 指挥官服务模式现提供健康检查链接

如需查看 Keeper Commander 完整更新列表，请访问我们的发行说明。

Mike Morse 律师事务所是密歇根州最大的人身伤害律师事务所，它直面这一挑战。 该律师事务所拥有 180 多名专业人员，已达成超过 20 亿美元的和解协议，因此需要一种更安全、更集中的方式来保护其业务运营中的各种凭据。 它实施了 Keeper Password Manager，这是一种零信任、零知识解决方案，可在不影响日常工作流程的情况下加强凭据管理。 该律师事务所的经验展示了法律团队如何在保持生产力和客户信任的同时，实现凭据安全的现代化。

专注于凭据安全

法律环境带来了独特且日益增长的网络安全问题，该行业正在不断努力应对这些问题。 包括律师、律师助理、调查员、行政人员以及在律师事务所和其他法律环境中工作的承包商在内的员工，都需要访问包含特权信息的系统。

随着团队和案件数量的增加，管理谁有权访问特定数据变得愈发复杂。 密码通常存储在多个位置，对凭据强度的可见性有限，入职和离职流程可能会变得耗时且不一致。 这些挑战使律师事务所在网络犯罪分子日益将法律行业作为攻击目标之际面临更大的风险，这使得可靠的解决方案比以往任何时候都更加重要。

Mike Morse 律师事务所需要一种现代化的零信任方法来支持安全和效率。 该律师事务所认识到，提高凭据安全性不仅对保护敏感数据至关重要，而且对维持其团队所依赖的无缝工作流也至关重要。

通过零知识控制保护客户数据

该律师事务所采用 Keeper Password Manager 来实施统一的零知识平台，从而加强访问控制、简化身份验证，并提供团队所需的组织范围内的可见性。

Keeper 正在颠覆这个领域，而且我认为他们做得比任何人都好。

－ John Georgatos | Mike Morse 律师事务所首席信息官

Keeper 与 Microsoft 单点登录的集成使律师能够快速、安全地访问他们所依赖的工具，同时减少了整个律师事务所的登录障碍。 与此同时，IT 团队通过监控、BreachWatch 暗网警报和详细审计，深入了解密码健康状况、凭据使用以及新出现的风险。 对于许多律师事务所而言，这种级别的可见性是平衡客户安全要求与法律团队对效率需求的关键一步。

提升整个行业的安全性

Mike Morse 律师事务所的经验反映了更广泛的行业转变，即从传统的密码做法转向兼顾强大安全性与日常工作效率的解决方案。 随着客户期望的不断提高和网络威胁的不断增加，零知识、零信任的身份和访问管理方法已变得至关重要。

法律行业需要摒弃过时的安全措施。 Keeper 为我们 Mike Morse 律师事务所的团队提供了引领这一转变的工具，我们很自豪能将这一解决方案推荐给我们在 Wilshire 律师事务所和 Hensley Legal Group, PC 的同行。

– John Georgatos | 首席信息官 (CIO)

该公司对 Keeper 的满意度表明，现代凭据安全技术可以在不干扰工作流程的情况下带来有意义的改进。 当法律团队集中管理凭据、监控风险、简化身份验证并实施一致的访问控制时，他们就能更好地保护客户并提高运营效率。

对于希望加强敏感客户信息保护的律师事务所而言，Keeper 提供了实现凭据安全现代化所需的可见性、控制力和易用性。请求演示或立即开始免费试用，以保护您最敏感的数据，提升可见性，并简化组织内部的凭据管理。

继续阅读以了解 IGA 与 PAM 的定义、协同机制及整合所带来的价值。

什么是 IGA？

身份治理与管理 (IGA) 可确保每个数字身份获得对系统、应用和数据的适当访问权限。 IGA 将身份生命周期管理 (ILM) 与访问治理结合，提供全方位可视化、一致的政策执行和可审计的合规管理，涵盖人类与非人类身份 (NHI)。 在大规模部署中，IGA 对自动化身份管理流程（如权限分配、撤销及访问请求）至关重要。

IGA 解决方案可根据角色分配权限，通过策略审批执行最小权限原则，并定期开展访问审查，从而高效支持新员工入职流程。 这种以策略为导向的方式不仅提升运营效率，也助力组织符合 HIPAA 与 GDPR 等监管要求。 通过统一系统管理身份，IGA 帮助组织降低因过度配置账户或未经授权访问带来的风险，尤其适用于复杂的混合或多云环境。

什么是 PAM？

特权访问管理（PAM）用于保护、管理并监控对敏感数据和关键系统的特权访问。 特权用户（如 IT 管理员、开发者及服务账户）通常拥有高权限，一旦被滥用或攻破，可能引发严重的数据泄露。 PAM 可帮助组织仅在实际需要时，并在完成特定任务所需的时间内，为用户授予临时提升的访问权限。 通过取消常驻权限并保护敏感数据访问，PAM 可减少攻击面，并帮助组织实时监控高风险会话。

现代 PAM 解决方案（如 KeeperPAM^®）提供凭证保管、会话监控、即时访问（JIT）、密码轮换及详细审计，实现高级安全防护。 KeeperPAM 是一款零信任、云原生平台，为多云环境设计，将密码管理、机密管理、安全远程访问、端点权限管理和特权会话控制整合于统一平台。

PAM 与 IGA 如何协同工作

尽管 IGA 与 PAM 在 IAM 中各司其职，但两者联合部署时效果最佳。 通过将被批准访问的人员 (IGA) 与访问权限的授予及使用方式 (PAM) 对齐，组织可获得全面方法来保护特权账户。 以下展示 IGA 与 PAM 如何相辅相成：

PAM 和 IGA 集成带来的好处

将 PAM 与 IGA 集成，可创建统一框架，用于大规模管理身份与访问风险。 二者协同提升整个身份生命周期的访问控制能力。

统一身份安全战略

IGA 与 PAM 使组织能够整合身份生命周期治理及特权访问管控。 这最大限度减少工具冗余、降低安全漏洞，并确保用户和环境间访问策略一致。

更优合规态势

监管标准（如 HIPAA 和 GDPR）要求对特权访问进行全面可见性和严格管控。 整合 PAM 和 IGA 可简化策略执行，并通过详细记录访问审批及特权会话活动，轻松完成审计。

降低权限滥用及凭证误用风险

IGA 确保用户仅获得所需访问权限，而 PAM 强制执行该访问权限的使用方式及使用时间。 集成 IGA 和 PAM 可实现最小权限访问，缩小攻击面，消除常设权限，并防止凭证滥用。

端到端可见性与可审计性

IGA 跟踪谁拥有访问权限及其原因，PAM 提供特权会话中访问使用情况的详细审计日志。 二者结合提供身份生命周期的全面可见性，有助于精准事件响应及持续风险评估。

实现最小权限及零信任策略强制执行

通过结合 IGA 的配置功能与 PAM 对 JIT 访问的强制执行，组织可在大规模环境中实现最小权限访问及零信任安全。 每个访问请求均基于上下文数据并设有时间限制，符合现代安全框架及最佳实践。

统一身份治理与特权访问

随着高级身份相关网络威胁的增加，组织必须配备同时支持身份治理与访问控制的安全体系。 部署 IGA 与 PAM 不仅可提升合规性和运营效率，也是迈向零信任战略的重要一步。 对于希望现代化特权访问策略的组织，KeeperPAM 可与 IdP 及治理平台无缝集成，提供企业级安全，同时保持部署简便快捷。

开始免费试用 KeeperPAM，确保企业身份与特权访问在大规模环境下的安全。

许多 MSP 至今仍在通过共享电子表格、便签纸或不安全的浏览器管理客户密码。 这导致关键系统的访问跟踪、使用审计及强密码策略落地工作难以推进。 如果缺乏集中可视能力，MSP 将面临访问控制不统一、安全事件响应滞后、凭据类攻击风险加剧等问题。 若要兼顾安全与效率，MSP 需要一套简便的集中化方案，以规模化保护客户环境，同时落地强密码管理规范。

我们面临的最大难题，就是帮助客户做好密码管理工作。 客户的密码存储方式五花八门，从 Google 浏览器保存到手写便签记录，应有尽有。 缺乏有效的集中管理手段，是我们面临的一大阻碍。

– Brandon Hall，LEAP Managed IT 技术服务副总裁

MSP 强化安全防护能力的必要性

越来越多的 MSP 开始推行更严格的安全与密码管理方案，以此守护客户权益，同时提升自身运营效率。LEAP Managed IT 是一家总部位于印第安纳州的北美 MSP，服务覆盖美国中西部地区，客户类型包括政府机构、金融机构、律师事务所、非营利组织、医疗保健机构等。 该团队需要一套方案：既能简化内部员工与托管客户之间的密码共享流程，又能满足 CMMC、PCI、HIPAA、ISO、GovRAMP、FedRAMP 等各类行业标准的合规要求。

作为一家 MSP，我们面临的最大难题，就是帮助客户做好密码管理工作。 客户的密码存储方式五花八门，从浏览器保存到手写便签记录，应有尽有。 缺乏有效的集中管理手段，是我们在提供服务过程中遇到的一大阻碍。

– Brandon Hall，LEAP Managed IT 技术服务副总裁

位于丹佛西部的 TeamLogic IT 为 20 家客户、275 名终端用户提供服务，该公司也曾面临类似难题。 许多客户习惯通过电子表格、电子邮件等不安全的方式共享密码。 由于缺乏集中管控，员工离职时，相关访问权限的撤销及变更记录跟踪工作难以高效开展。

我们花在重置密码、查找凭据上的每一秒，都是从服务客户、拓展业务的时间里挤占而来。 一套精简可靠的解决方案能帮助 MSP 为客户提供更高效的服务、降低安全风险，并在每一次客户对接中展现自身价值。

KeeperMSP® 核心价值与功能

KeeperMSP 是一款专为 MSP 打造的特权访问管理平台。 该平台的核心功能涵盖密码与机密信息管理，可有效防范因密码问题引发的数据泄露与网络攻击。 它既能帮助 MSP 保障自身业务平稳运营，也能为其托管的所有客户筑牢安全防线。

KeeperMSP 专为满足 MSP 的独特需求而生，借助功能完善的报告与审计工具，可全面掌握终端用户的密码使用习惯，助力企业落实各项安全与合规要求。 其具体功能包括基于角色的访问控制 (RBAC)、多因素身份验证 (MFA)、安全信息与事件管理 (SIEM) 事件报告，以及针对 CCPA、GDPR 等标准的监管与行业合规支持。

专为 MSP 打造，成熟实践成果背书。

对 LEAP Managed IT 而言，通过将 KeeperMSP 与 Microsoft Entra ID 集成，团队可以快速向 50 名内部员工及数百名客户用户部署该平台。 该公司实现了对密码安全与合规情况的实时监控，现场技术人员也能通过 Keeper 浏览器扩展程序与移动应用，安全调取凭据。

在 IT 领域，整体安全水平往往取决于最薄弱的客户或用户环节。 很多安全事件的诱因，其实都是人为失误，比如不慎点击了可疑链接。 若是有机制要求您在点击前输入密码，就能让大家下意识地停顿思考，从而规避潜在风险。

– Patrycja Thomas，LEAP Managed IT 业务拓展经理

TeamLogic IT 也收获了相似的使用成效。 与众多 MSP 一样，该公司为数十家 IT 需求各异的企业提供技术支持服务。 借助 KeeperMSP 的基于角色访问控制与一次性共享功能，该公司与客户的协作模式实现了优化升级。 如今，该公司可实时授予或撤销访问权限，安全共享凭据，无需再依赖过时的电子表格或 PDF 文件。

借助 Keeper，我们得以轻松向客户推广完善的安全防护方案。 安全共享密码、自动生成密码，这些实用功能均已内置其中。

– Danny Ramey，TeamLogic IT（位于丹佛西部）首席技术官兼联合创始人

在这两家机构中，统一密码管理方案均带来了显著的可量化成效。 借助 KeeperMSP，LEAP Managed IT 与 TeamLogic IT 持续优化合规报告、减少凭据相关服务工单、简化凭据管理最佳实践流程，并深化客户合作关系。

规模化凭据管理

根据 Global Market Insights 2025 年发布的报告，预计到 2034 年，MSP 市场规模将从 696.8 亿美元增长至 1158.3 亿美元，年复合增长率 (CAGR) 平均可达 5.8%。 未来，MSP 预计将持续提供高合规性的云服务，尤其是那些既能简化核心业务流程，又能增强网络威胁防护能力的解决方案。 根据 Infrascale 汇总的数据，网络安全威胁仍是 MSP 的首要关切，59.7% 的 MSP 将其列为头号挑战。

在多客户环境中，MSP 面临的诸多独特挑战是传统密码管理器无法解决的。 一款量身定制的解决方案，能帮助 MSP 为所有客户筑牢安全防线，并在各行业及各类监管要求下持续维系客户信任。 借助合适的平台，MSP 能够降低安全风险、简化运营流程，并为每一位服务客户提供更优质的安全防护成果。 Keeper 凭借零信任架构、直观易用的管理工具及可扩展的高效性能，可助力 MSP 守护每一个客户帐户的安全。

即刻开启 KeeperMSP 免费试用，守护您客户的核心敏感数据，提升组织全域可视性，同时简化凭据管理流程。阅读完整的 Keeper + LEAP Managed IT 案例研究，了解更多详情。

下文将详解各组织必循的七大实践，助力您优化云原生安全策略。

1. 采用零信任安全模型

零信任安全模型是云原生环境安全防护的关键，因为动态工作负载与远程访问在这类环境中极为普遍。 传统边界型安全模型默认信任网络内部流量，而零信任安全模型的核心逻辑是：任何用户、身份或系统都不应被自动信任，即使其已处于环境内部。 在云原生架构中，资源通常分布于多家云服务商，落实零信任安全需对用户、系统及服务进行持续的身份验证与权限授权。 现代云环境中零信任安全的典型落地方式包括：

• 服务间身份验证：云应用程序需在通信前完成相互验证，这与用户需要登录方可访问特定系统的逻辑一致。 服务间身份验证通过证书与词元验证每一项请求，确保没有任何服务被默认信任，进而落实零信任安全理念。
• 网络分段：零信任安全模型不再对网络开放无差别访问，而是将其划分为更小、监控更严密的独立区域。 云原生平台通过零信任安全策略支持网络分段，依据预设规则限制访问权限，确保服务仅在确有必要且获得授权时进行通信。

2. 执行严格的身份与访问管理 (IAM)

身份与访问管理 (IAM) 是云原生安全的核心组成部分，其核心作用是确保仅有合法身份能以最低特权访问原则访问对应资源。 在基础设施快速扩容的动态云环境中，身份优先的安全机制能有效帮助组织防范未授权访问行为。 过度授权的身份、硬编码机密和管理不当的凭据，是网络犯罪分子常用的攻击途径，在 CI/CD 管道中尤为突出。 IAM 最佳实践包括：

• 基于角色的访问控制 (RBAC)：依据用户的岗位职责分配相应权限。
• 即时 (JIT) 访问：通过授予限时、专用的权限，取消长期生效的访问权限。
• 凭据与机密管理：安全存储并定期轮换服务账户凭据、API 词元及其他机密信息。

许多组织借助 Keeper^® 在云原生基础设施与 Kubernetes 环境中落地这些实践，同时依托其安全密码、机密及特权访问管理功能提供全方位保障。

3. 保障容器与 Kubernetes 安全

现代应用程序常通过容器与 Kubernetes 进行交付，这类应用程序可广泛接触敏感数据，因此成为网络犯罪分子的重点攻击目标。 容器配置不当或 Kubernetes 仪表盘暴露，都可能引发严重的数据泄露事件。 为降低此类风险，组织应在部署前扫描容器镜像，及时识别安全漏洞与潜在恶意软件。 同时，需通过行为异常监控与实时威胁检测，为运行时的工作负载提供安全防护。 此外，还需执行网络分段、RBAC 等 Kubernetes 安全策略，以进一步降低未授权访问的风险。 实现跨集群与命名空间的全面可视性能帮助组织实时检测配置不当问题，并监控各云环境中的运行活动。

4. 在 CI/CD 管道中落实安全左移

“安全左移”是指在软件开发生命周期的初始阶段就融入安全机制，而非等到部署完成后再补救。 在云原生环境中，安全左移策略至关重要，可在配置不当与漏洞进入生产环境前将其拦截。 组织应将安全左移深度融入代码仓库、构建流水线及基础设施即代码 (IaC) 中，通过自动扫描与策略即代码保障配置安全。 通过将安全融入开发人员工作流的早期阶段，组织既能提升交付效率，又能确保 CI/CD 流水线各环节均统一执行安全策略。

5. 部署持续监控与运行时保护机制

静态安全控制已无法适配现代云原生环境所需的速度与弹性扩展能力。 在这类环境中，基础设施频繁变更，新代码持续部署上线。 为掌握安全主动权，组织需对云原生安全具备全面可视性与管控能力，以此防范高级网络威胁并快速响应安全事件。 要有效落地云安全最佳实践，需持续监控跨集群的工作负载、及时发现权限提升等可疑行为，并在运行时安全事件发生时迅速响应。 借助合理的自动化配置与警报优先级排序，安全团队可将更多精力投入高级别威胁应对，进而提升组织在分布式云原生环境中的安全态势。

6. 强化 API 与微服务安全防护

API 与微服务是云原生环境的基础组件，但它们也会暴露大量互联入口，导致攻击面扩大，而网络犯罪分子可利用这些入口入侵关键系统。 为防范未授权访问，组织应通过严格的身份验证与授权机制保护 API、借助 API 网关执行安全策略，并对服务间通信进行加密，实现数据全程安全防护。 保障每一次 API 交互的安全性、在微服务间执行最低特权访问原则，既能帮助组织强化云安全防护，又能契合零信任安全理念。

7. 实现合规与策略执行自动化

由于云原生环境节奏迅猛，仅靠人工开展合规检查已难以满足需求。 在现代云环境中持续开展合规监控，需借助自动化管控手段，确保安全策略在基础设施与流水线中得到统一执行。 组织应使用策略即代码、自动加密和网络分段来执行安全与合规性规则，同时进行持续监控，以实时发现错误配置和合规违规行为。 合规自动化不仅能减少人工投入、提升审计就绪度，还能确保监管标准得到切实遵守。

云原生安全实践中的常见误区

即使是资源充足的组织，在现代环境中落实云原生安全时也可能陷入误区。 以下是各组织在云原生安全实践中最易犯的错误及相应后果：：

借助 KeeperPAM^® 筑牢云原生环境的安全防线

云原生架构让组织能够更灵活、快速地开展规模化业务；然而，若缺乏现代安全实践支撑，这类环境会面临严重安全风险。 为了保护组织的云原生基础设施，应在整个云生命周期内持续落实自动化的云原生安全实践。 组织可通过 KeeperPAM 践行零信任原则、保护工作负载并实现合规自动化，这些功能有助于缩小攻击面，同时在快节奏环境中保持安全防护的一致性。 KeeperPAM 助力组织在多云环境中执行最低特权访问原则、保护凭据安全，并为特权会话提供全方位防护。

即刻开启 KeeperPAM 免费试用，轻松实现规模化合规管理，全面提升云原生安全防护水平。

继续阅读，了解这些 Instagram 邮件的详细情况、如何判断邮件是否属实、收到此类邮件时应如何应对，以及 Keeper^® 如何帮助您提升网络安全防护。

关于 Instagram 密码重置邮件您需要了解的内容

为什么这些 Instagram 邮件令人担忧

用户收到的这些 Instagram 邮件之所以令人不安，是因为它们乍看之下与常见的网络钓鱼邮件极为相似。 这些邮件使用了官方的 Instagram 品牌元素，并采用了网络犯罪分子在诈骗邮件中常见的话术，试图诱导用户泄露登录凭证，同时制造紧迫感和恐慌情绪。 当用户看到暗示有人正在尝试访问其 Instagram 账户的消息时，往往会在未充分思考的情况下点击链接或输入登录信息。

尽管 Instagram 表示并未发生安全入侵，但公司并未公开披露该滥用行为的发生方式或检测机制，这也凸显出一个更为严峻的问题：即便是合法的安全流程（如密码重置请求），同样可能被不当利用。 话虽如此，此次事件的一个积极方面在于，目前并无证据表明用户账户访问权限或密码因此次事件而直接遭到泄露。CyberInsider 指出，这名未具名的外部方可能利用了此前泄露的账户数据，例如在早前数据泄露事件中暴露的信息，不过这一说法尚未获得独立验证。 这进一步说明了，用户有必要及时了解自己的登录凭据是否已遭到泄露。

暗网监控工具可在用户的登录凭据出现在已知数据泄露事件中时实时发出警报，帮助用户第一时间采取应对行动。 使用密码管理器同样是提升网络安全的重要举措，它可以生成强度高且唯一的密码，防止密码重复使用，并降低凭据被盗带来的风险。

如何判断来自 Instagram 的邮件是否真实

尽管此次安全事件中的 Instagram 密码重置邮件本身是真实的，但其外观几乎与典型的钓鱼邮件无异，因此，学会验证邮件的真实性尤为重要。 以下是识别 Instagram 官方邮件时需要注意的要点：

• 检查发件人的邮箱域名：Instagram 的官方邮件通常来自以 “@mail.instagram.com” 结尾的邮箱地址。 但需要注意的是，攻击者可以伪造显示名称，因此不能仅凭域名作为唯一的判断依据。
• 检查电子邮件页脚：Instagram 的官方邮件通常会在页脚中列出公司正式信息，包括 Meta 的公司地址。 如果邮件缺少上述信息，或排版格式显得异常，请在采取任何操作前保持警惕。
• 点击前悬停查看链接：将鼠标移动到邮件中的链接上（不要点击），即可查看其实际指向地址。 如果链接未指向 Instagram 的官方网站，请不要点击。 如需确认链接是否安全，可在点击前将其粘贴至可信的链接检测工具中，例如 Google 透明度报告。
• 留意拼写和语法错误：钓鱼邮件往往存在用语生硬、排版混乱或拼写和语法错误，而正规公司通常会在发送前进行严格校对。
• 即便是看起来正规的邮件也需保持警惕：即使这些邮件确实由 Instagram 发出，出于安全考虑，仍应避免点击非主动请求邮件中的链接，而应直接前往 Instagram 应用程序或官网重置密码。

如果您收到来自 Instagram 的可疑邮件，该如何应对？

如果您收到来自 Instagram 的密码重置邮件，但无法确认其真实性，可按照以下步骤操作，以防止账户遭到入侵。

切勿点击未经请求的链接

如果您并未申请密码重置，请直接忽略该邮件。 一旦点击了潜在危险邮件中的链接，用户可能会被引导至伪造的登录页面，从而导致登录凭据被窃取。

更改密码

如果您担心有人可能已访问您的 Instagram 账户，请通过官方应用或官网更新密码。 请使用强大且唯一的密码，切勿在其他在线账户中重复使用。

切勿回复此邮件

Instagram 的官方安全邮件不需要任何回复。 如果回复，您可能会将个人信息泄露给冒充 Instagram 客服的诈骗者。

启用多因素身份验证 (MFA)

MFA 为 Instagram 账户增加额外验证步骤，从而提升安全防护层级。 Instagram 支持多种 MFA 方式，包括身份验证器应用、短信验证以及 WhatsApp 验证。 不过，应尽量避免依赖短信验证，因为 SIM 卡交换可能导致验证码被拦截。 为获得最佳保护，可使用如 Keeper 的认证应用，其内置 TOTP 生成器可进一步保障账户安全。

Keeper 如何助您提升网络安全

使用 Keeper 等密码管理器，是保护 Instagram 及其他在线账户的最佳方法之一。 由于 Keeper 内置密码生成器，不仅能有效避免密码重复使用，还可确保生成的密码足够长且复杂，从而显著提升安全性。 这样一来，即便您的 Instagram 凭证遭到泄露，其他在线账户也能避免在“撞库攻击”中受到牵连。 当您将 Instagram 密码更新为强且唯一的密码后，Keeper 会自动为您存储并管理，无需再费心记住所有新的高强度密码。 此外，即使不慎点击了恶意链接，Keeper 的自动填充功能也能提供额外防护，因为它只会在合法网站上自动填写登录信息。

使用 Keeper，全方位保护您的 Instagram 账户

尽管此次安全事件源于 Instagram 发送的合法邮件，但钓鱼邮件依然是网络犯罪分子诱导用户泄露凭证的常见手段。 学会识别来自 Instagram 及其他公司的可疑邮件，是保障网络安全的关键一步。 不过，使用 Keeper 这样的密码管理器，同样是为所有账户创建并安全存储强且唯一密码的重要保障。 借助 BreachWatch^®，一旦您的任何凭证出现在已知的数据泄露或暗网交易中，系统将第一时间向您发出实时警报。 Keeper 为您在 Instagram 及所有在线平台上提供所需的可视化监测与全面防护。

立即开启 Keeper 的 30 天免费试用，全面提升防御网络威胁的能力。

由于之前的密码管理器给员工带来了麻烦，后来又发生了公共安全事件，圣安娜儿童癌症研究所转而求助于 Keeper Security，希望获得一个现代化的安全平台，让团队能够快速采用，并在日常工作中放心使用。

旧工具使敏感数据面临风险。

圣安娜儿童癌症研究所因其遗留密码管理器遭遇了广泛不满。 许多非技术员工完全避开了原有工具，因为其界面复杂混乱，不仅无法简化工作流程，反而拖慢了日常任务的处理速度。 因此，一些人不得不依赖不安全的方式来存储和共享重要凭证，例如共享电子表格或手写记录。

在管理层面，信息技术（IT）团队缺乏对系统、凭证、数据、文档等访问权限的可视化掌控。 对于临时研究人员和轮换员工的凭证管理，始终是一大挑战。 由于对原有工具缺乏信心，研究所意识到亟需一个安全可靠的解决方案，这一方案不仅要支持其科研使命，还能随机构的发展而扩展。

这就是人们真正愿意使用的安全升级。

Keeper 提供了一个安全、用户友好的平台，将强大的密码和密钥保护与圣安娜CCRI所需的可用性结合在一起。 简洁直观的用户界面让技术人员和非技术人员都能轻松上手，同时，易获取的培训资源和简明的入职流程帮助组织快速适应和使用新系统。 借助 Keeper 的自动导入工具，IT 团队提前完成了记录迁移并清理了遗留数据。 Keeper 还与研究所的身份供应商实现集成，简化了新研究人员的用户配置流程，并支持对短期员工的账号注销管理。

Keeper Enterprise Password Manager 建立在零知识加密模型之上， 确保保管库中的数据完全加密，只有用户本人可以访问或查看自己的保管库。 团队还部署了 BreachWatch® 进行暗网监控，并启用高级报告与警报模块（ARAM）。 这些附加功能能够及时检测泄露或被攻破的密码，通过内置报告和警报机制强化凭证安全管理。

切换到 Keeper 后不久，圣安娜儿童癌症研究所注意到：

• 改进的用户管理：身份提供商集成简化了研究人员的入职与离职流程。
• 协作优化：共享文件夹和一次性共享功能让团队能够安全访问和共享凭证，同时不影响研究进展。
• 可见性增强：管理控制台为 IT 提供了密码使用的实时洞察，执行密码策略，并支持基于角色的访问控制，从而明确谁可以访问特定凭证和系统。
• 研究所安全提升：Keeper 标准化了密码管理实践，加强了对敏感研究数据的保护。

安全性得到加强。 协作得到改善。 采纳已实现。

Keeper 平台一上线，效果立竿见影。 员工积极使用 Keeper，因为它支持并优化了工作流程，而不是给工作增加阻碍。 共享文件夹和一次性共享功能让实验室、管理员以及轮换团队的日常任务更加顺畅。

IT 部门也终于能够实时掌握密码健康状况和凭证使用情况，从而实现更主动、更高效的安全管理。 以零知识加密为基础，圣安娜儿童癌症研究所大幅加强了对敏感研究和运营系统的保护。

从 IT 安全来看，最大的隐患在于桌面便签的使用以及密码和凭证的不安全存储。 而就终端用户的接受度而言，支持记录和文件共享的协作功能是关键要素。 Keeper 之所以更受认可，正是因为其协作功能远比用户以往使用的任何方案都更为简便。

–Ingomar Schmickl | 圣安娜儿童癌症研究所 IT 负责人

利用 Keeper 加强组织的安全性

圣安娜儿童癌症研究所的经验表明，科学和使命驱动型组织如何在不减慢协作速度的情况下保护敏感数据。 通过使用 Keeper 标准化凭证管理，研究所恢复了信任，提升了可见性，并为员工提供了一款既能支持又能优化其复杂日常工作的工具。

随着基于凭证和身份的网络威胁日益复杂，确保密码管理安全对于保护组织最敏感的数据和关键系统至关重要。立即开始您的 Keeper Enterprise 密码管理器免费试用。

为了应对这些挑战，该公司求助于 Keeper^®，以统一安全性、提高可见性并恢复对其庞大且分布广泛的员工队伍的控制。

凭据管理方面的差距

在这家全球科技公司内部，员工依赖于密码管理器和临时解决方案的组合。 一些团队使用电子表格，而其他团队则在本地存储密码或在不同系统间重复使用密码。 这些不一致的做法造成了严重的盲点，同时还存在凭据管理不善和缺乏控制的问题。 安全团队难以回答关于谁有权访问哪些内容，以及共享凭据是否得到安全处理等关键问题。

合规团队也感受到了压力。 由于必须严格遵守监管要求和 ISO 标准，而缺乏集中式系统导致难以执行政策或进行可靠的审计。 正如一位领导者所说：

我们希望将密码管理统一到一个安全的解决方案下，以便我们的网络安全团队进行审查和管理。

– 项目交付管理负责人

迁移到统一平台

在比较了多种解决方案后，该组织选择了 Keeper，因其具备强大的安全性、易用性，以及将所有团队都整合到基于零信任和零知识架构的集中式凭据管理平台的能力。 Keeper 成为了整个组织可以信赖的安全、统一的系统。

Keeper 脱颖而出的原因：

• 集中管理：所有密码和通行密钥的单一安全平台。
• 易于采用：界面简单，部署迅速且培训资源清晰明了。
• 高级安全：多因素身份验证 (MFA)、端到端加密、安全共享和基于角色的访问控制。
• 成本效益：透明的定价和高度评价的企业支持。

我们为团队提供了终端用户培训和管理员培训。 这是一个非常直观的界面，我们的实施体验非常顺利。

– 项目交付管理负责人

Keeper 如何提升公司的安全性

将 Keeper 推广给 11,000 多名员工后，该组织获得了之前一直缺失的集中控制。 IT 部门终于可以在一个地方执行强密码策略、监控凭据安全状况并管理访问权限。 主要成果包括：

• 更强大的安全性和合规性：Keeper 加强了组织的安全态势，并支持 ISO 和其他合规性要求。 现在，中央仪表板可让 IT 部门实时了解凭据活动。
• 更快的入职和离职：现在，只需几秒钟就能配置或撤消访问权限。 Keeper 还通过标准化密码和密钥的共享方式，改善了团队之间的协作。
• 更好的安全性和可见性：通过单点登录 (SSO) 集成，员工使用现有凭据登录 Keeper，并安全访问不支持 SSO 的应用程序。KeeperFill® 等功能简化了网站和应用的自动填充。
• 用户采用率高： Keeper 简洁的界面和浏览器扩展让所有员工，甚至非技术人员，都能轻松上手。 得益于面向企业用户的家庭方案，采用率进一步提高。

团队非常喜欢 Keeper 提供一个免费家庭方案。 这是一个额外的福利，让用户的采用速度更快。

– 项目交付管理负责人

使用 Keeper 保护组织的凭据

随着基于凭据和身份的网络威胁日益先进，安全管理和共享密码对于保护组织最敏感的数据和关键系统至关重要。立即开始免费试用 Keeper Enterprise 密码管理器。

在 Keeper Security 这一值得信赖的合作伙伴支持下，Atlassian Williams F1 Team 借助 KeeperPAM®，在全球范围内安全管理其特权系统访问。这一基于零信任、零知识架构的特权访问管理解决方案，使车队在高速运转的同时，全面守护最敏感的资产与数据。

如今，拥有一位能够帮助我们保护并妥善守护赛道上产生的所有高度机密数据的合作伙伴，已成为不可或缺的基础。

– Carlos Sainz | 一级方程式车手，Atlassian Williams 车队

挑战：在全球范围内保护数据

Williams 面临着一个高度复杂的 IT 环境。 每个比赛周末，数百台设备在各大洲之间流转，在高压环境下接入不同的网络系统。

通常，一台计算机只会部署在一栋建筑内——而我们的设备却遍布全球。 无论身处何地，我们都必须确保技术体系始终安全可靠。

— James Vowles｜Atlassian Williams F1 Team 车队领队

管理这种高度动态的访问模式，意味着需要在多个团队、系统和地域之间持续进行凭证的配置与撤销。 KeeperPAM 提供直观易用的界面，将凭证、连接、机密信息、端点及特权访问统一集中于一个安全保险库中进行管理。

网络安全领域的零信任“维修区”策略

KeeperPAM 为 Williams 提供了一体化平台，助力其在高度分布式的员工体系中实现特权访问的安全防护与高效管理。 核心能力包括：

• 特权凭据防护—— 密码、通行密钥等特权凭证统一托管并安全存储于 Keeper Vault 中。
• 一流的安全架构—— 基于零知识与零信任架构，保险库内的所有数据与连接均采用全程加密，杜绝明文暴露，确保每位用户对其保险库拥有完全掌控权。
• 自动化与即时访问（JIT） —— 自动化配置、强制执行多因素认证（MFA）以及零常设权限策略，有效降低 IT 运维负担，同时显著提升团队敏捷性。
  

对我们而言，任何合作关系的关键，在于双方品牌是否能够目标一致、协同共进。 而这一点，在与 Keeper 的合作中得到了充分体现。

——James Vowles | Atlassian Williams F1 Team 车队领队

成果：守护赛道内外的每一圈

KeeperPAM 彻底重塑了 Williams 的整体安全态势，同时推动运营更加高效、灵活。 车队如今已对最高特权用户全面实施 PAM 策略，将凭证安全存储于零知识保险库中，实现从全球任意地点发起的快速且安全的连接。

• 更高的安全性与可见性—— 特权会话可通过 SSH、RDP、VNC 以及数据库等多种协议进行记录与审计。
• 高度的用户采用率—— KeeperPAM 直观易用的界面显著减少支持工单，使“最安全的路径”自然成为用户的默认选择，同时不牺牲使用体验。
• 全球运营信心—— 从英国 Grove 的总部，到遍布 20 多个国家的赛道现场，Williams 能够在任何网络、任何设备上安全运行。

当你观察我们的赛道现场团队时，会发现 Keeper 做得非常出色的一点在于：它让阻力最小的路径同时成为最安全的路径。这意味着终端用户用得舒心，也让我倍感安心。

— Harry Wilson｜前 Atlassian Williams F1 Team 信息安全主管

引领特权访问管理的未来。

Williams 在 KeeperPAM 上取得的成功，充分印证了零信任与零知识安全架构在守护当今最具挑战性的全球化运营中的关键价值。 通过将特权访问管理整合至一个统一、直观的平台，Keeper 实现了速度、合规性与前所未有的可视化能力，在整个 F1 赛季的每一个关键转折点，都为团队注入更强信心。

立即申请演示或开启免费试用，全面守护您最敏感的数据，提升对特权账户的可见性与掌控力，以 KeeperPAM 为您的整个组织构建坚实防线——这是 Atlassian Williams F1 Team 信赖的特权访问管理解决方案。

为了应对这些挑战，组织必须重新思考零信任安全原则在自主 AI 代理场景中的落地方式。 Model Context Protocol (MCP) 提出了一套上下文驱动的框架，通过强调身份、访问权限与操作意图，管控 AI 代理访问工具和数据的方式，助力组织将零信任原则应用于每一次机器驱动交互的核心环节。

继续阅读，了解更多关于 MCP 的信息，包括其如何落地零信任原则，以及 Keeper^® 如何为 AI 代理构建零信任安全体系。

什么是 Model Context Protocol (MCP)？

Model Context Protocol (MCP) 是由 Anthropic 推出的一项开放标准，旨在安全管控 AI 代理在企业环境中自主访问工具、数据与系统的行为。 MCP 摒弃了让 AI 代理基于静态或宽泛的访问控制策略运行的模式，转而强调将上下文信息嵌入 AI 代理发出的每一项请求。 例如，MCP 不会授予 AI 代理对整个数据库的全量读取权限，而是会评估特定查询在特定时间、针对特定任务是否应被允许，仅调取完成该任务所需的特定访问权限。 该架构可确保 AI 的操作行为透明可追溯，且符合组织的政策与安全要求。

MCP 在实时赋予 AI 代理操作上下文、并管控其行为方面发挥着重要作用。 通过在每一次交互中嵌入上下文信息，MCP 可帮助组织基于最低特权访问原则和风险决策机制，持续验证 NHI 的合法性，从而降低现代 AI 场景特有的攻击风险。 基于上下文感知的方案，可让安全团队精准评估访问请求的发起主体、发起原因及发起方式。 因此，MCP 可助力 AI 代理从高风险身份转变为零信任环境内的受管控实体，让组织得以在不影响安全性与可见性的前提下，扩大 AI 技术的应用规模。

MCP 如何在 AI 工作流中执行零信任原则

传统零信任安全模型是为人类用户设计的，而非可能受受损工作流影响的自主 AI 代理。 若缺乏持续的身份验证，AI 代理可能会在不知情的情况下执行恶意指令、复用已泄露的凭据，或为权限提升与横向移动创造可乘之机。 MCP 将零信任原则扩展至 AI 驱动的工作流，确保每一项操作都经过持续验证、严格管控且全程可审计。 基于 MCP，AI 代理的每一项请求都会结合身份、任务、环境等上下文信息进行评估，以适应不断变化的场景条件。 例如，负责部署代码的 DevOps AI 代理，其权限可能被限制在特定环境与特定时长内；而客服 AI 代理则仅能访问解决工单所需的客户记录。 当代理的任务或操作范围发生变化时，其访问权限可被重新验证或直接撤销，以此强化持续验证机制。

这种实时认证方式可减少凭据泄露风险，避免 AI 代理访问超出其既定用途的系统。 对 AI 代理实施访问时长限制，可在各环境中落实最低特权访问原则，同时降低凭据泄露风险。 此外，MCP 可对 AI 代理的自主操作进行上下文日志记录，进而提升行为可见性与可追溯性，安全工具可利用这些日志开展会话记录、审计及事件响应工作。

借助 KeeperPAM 保障 AI 代理工作流安全

尽管 MCP 明确了上下文信息在 AI 交互中的应用方式，但组织仍需特权访问管理 (PAM) 解决方案来落实零信任原则。KeeperPAM^® 结合上下文感知控制、零知识加密与基于策略的自动化技术，保障 AI 驱动工作流的安全，全程不会泄露凭据，也不会影响业务运营。