工作场所的密码习惯使组织容易受到网络攻击

即使在发生冠状病毒疫情之前，工作场所较差的密码健康状况也对组织的网络安全构成了威胁。当冠状病毒疫情迫使全球的组织迅速部署和保护远程员工时，团队开始在雇主无法控制的环境中远程连接到组织资源，很多时候使用的是自己的设备。

由 Keeper Security 于 2020 年委托 Ponemon Institute 编制的《远程工作时代的网络安全：全球风险报告》的受访者对其组织中的密码安全表示严重担忧：

• 60% 的受访者表示，他们的组织在过去 12 个月内遭遇过网络攻击。
• 这些攻击中超过 50% 涉及被盗帐密。
• IT 资产被盗给 25% 的企业造成了 500 万美元或更多的损失。

疫情促使组织迅速部署了一系列新技术，以让远程员工保持联系、协作和工作。从 Zoom 到 Google Workspace 再到 Slack，员工必须注册更多的在线帐户，并记录更多的密码。

Keeper 想知道自从各公司迁移到远程工作环境以来，密码安全性发生了多大变化。远程员工是否遵循简单的最佳做法来保护其密码，或者他们是否患上“密码疲劳”，并养成可导致重大网络安全风险的坏习惯？这就是为什么 Keeper 与 Pollfish 合作进行了工作场所密码不当做法调查的原因。

Ponemon 是对组织领导者进行的调查，而我们决定直接向员工进行调查，并向美国 1,000 名全职员工询问了他们的密码习惯。这项调查于 2021 年 2 月完成，仅涵盖使用密码登录工作相关在线帐户的个人。

以下是调查中最重要的一些发现。您也可以在此处查看完整数据。

发现 1：美国员工不安全地记录和存储登录帐密

我们的调查发现，美国员工在存储和记录工作相关密码时未遵循最佳做法，这给他们的雇主带来了重大网络安全风险。

• 超过一半的受访者 (57%) 承认将工作相关的在线密码写在“便笺”，三分之二 (67%) 的人承认丢失了这些便笺。除了会让居住在家中或其他来家里做客的人看到敏感的公司信息之外，这还会损害组织的效率。丢失便笺意味着密码丢失，这会导致需要通过帮助台工单重置相关密码。
• 62% 的受访者将登录帐密存储在笔记本或日记本中，绝大多数 (82%) 人表示，他们将这些笔记本放在工作设备旁边或附近，居住在家中或正在家里做客的任何人都可以接触到这些笔记本。

在远程工作环境中，用笔和纸记录密码的问题变得更为严重。大多数员工 (66%) 表示，他们在家工作时比在办公室工作时更可能记录下工作相关的密码。

即使在使用数字方法记录和存储密码时，美国员工的密码安全性做法也较差。

• 近一半的受访者 (49%) 将工作相关的密码保存在云文档中。
• 超过一半 (51%) 的人表示，他们目前将这些密码保存在电脑的文档中。
• 55% 的人将工作相关的密码保存在手机上。

将密码存储在未加密的文件中非常危险。网络犯罪分子只需入侵云存储、电脑或移动设备，就可以访问员工的所有密码。

发现 2：美国员工创建的密码弱而容易被猜到

高强度的随机密码由大小写字母、数字和特殊字符组成的随机字符串组成。然而，许多受访者承认使用了包含个人信息的密码，网络犯罪分子可以从社交媒体渠道轻易找到这些信息。

• 超过三分之一 (37%) 的受访者在工作相关密码中使用了雇主的名字。
• 超过三分之一 (34%) 的人使用过另一半的名字或生日。
• 近三分之一 (31%) 的人使用过孩子的名字或生日。

个人和工作相关帐户之间的密码重复使用已成为各个公司面临的一大网络安全风险，44% 的受访者承认在个人和工作相关帐户中重复使用密码，53% 的受访者承认在工作设备上保留了有密码保护的个人帐户。

发现 3：美国员工与未经授权的一方共享了工作相关的密码

许多美国员工并不关心他们与谁共享工作相关的密码。如果这些密码最终落入粗心大意或有恶意企图的人手中，将使组织面临被入侵的风险。

• 在过去一年中，14% 的受访者与另一半或配偶共享了工作相关的密码。
• 11% 的受访者与其他家庭成员共享了工作相关的密码。

即使没有发生数据泄露，如果发现未经授权的一方查看了受合规保护的数据，雇主也可能会被视为不合规，并被处以巨额罚款。

发现 4：美国雇主没有尽其所能确保密码被安全地共享和/或仅与授权方共享

我们的调查发现，共享密码在工作场所很常见。

• 近一半的受访者 (46%) 表示，他们的公司在多人使用的帐户中采用了共享密码。
• 超过三分之一 (34%) 的人与同一团队的同事共享了工作相关的密码。
• 近三分之一 (32%) 的人与他们的经理共享了工作相关的密码。
• 19% 的人与他们的执行团队共享了密码。

最好的办法是为每个用户的每个工作相关帐户或应用提供唯一的密码，这实际上可以通过使用 Enterprise Password Management (EPM) 平台来完成。如果安全地共享密码，并且仅与授权方共享密码，那么在工作场所共享密码就是安全的。

我们的调查结果显示，许多美国雇主没有采取降低风险策略来帮助确保密码共享安全。

• 大多数受访者 (62%) 表示，他们通过文本消息或电子邮件共享与工作相关的密码，这可能会在传输过程中被网络犯罪分子截获。
• 近三分之一 (32%) 的受访者承认访问过前雇主的在线帐户，这表明许多雇主在员工离开公司时并没有禁用其帐户。

结论

采用和实施企业密码管理平台（例如 Keeper Enterprise）可解决本调查中发现的密码不当做法。Keeper 的零知识密码加密和零信任框架提供了高级密码管理、安全共享和其他安全功能。

IT 管理员和领导者可以全面了解和掌控员工密码使用情况，包括：

• 独家专有的零知识安全模型和零信任框架体系；所有传输数据和静态数据均加密；Keeper Security 员工或任何外部方都无法查看。
• 在所有设备上快速部署，无前期设备或安装费用。
• 由专属支持专家提供个性化入职培训以及 24/7 支持和培训。
• 支持 RBAC、两步验证、审核、事件报告和多种合规标准，包括 HIPAA、DPA、FINRA 和 GDPR。
• 为团队预配安全共享文件夹、子文件夹和密码。
• 单点登录 (SAML 2.0) 身份验证
• 在 SSO 不可用时启用离线保管库访问.
• 通过 SCIM 动态预配保管库.
• 配置高可用性 (HA)。
• 高级两步/多步验证。
• Active Directory 和 LDP 同步。
• SCIM 和 Azure AD 服务开通.
• 用于密码轮换和后端集成的开发者 API.