進退兩難:IT 服務台經理陷入密碼困局

June 14, 2021 Stas Neyman

IT Help Desk Password Support

週六夜現場的忠實觀眾應該會記得尼克‧伯恩斯(Nick Burns) – 別名「您公司的電腦專家」。這是 2000 年初期由吉米‧法倫(Jimmy Fallon) 所扮演的一個非常受歡迎的重要配角。

尼克身上總是掛著一個口袋護套及一個神氣的呼叫器,在一間大企業的辦公室裡大搖大擺地巡視,回答有關 IT 支援的問題,並用譏諷的口吻嘲笑他那些「技術白痴」般的客戶 – 也就是公司內部員工 – 永遠無法正常操作印表機,也聽不懂 JavaScript 笑話。每當他衝進工作站解決問題時,一定會喊出這段小品的招牌金句「讓開!」,然後當他在數秒之內火速解決問題時,少不了說一句「這很難嗎?!」。

雖然尼克的性格與現今的 IT 服務台經理的業務關鍵角色相去甚遠,但今天許多擔任此職位的人員仍會對他每天面對的大量工單感同身受。即使是個性最樂觀開朗的人,在一次又一次處理相同的問題之後也會感到挫敗。而這些問題大多數與密碼有關。

「好,一個一個來。我的腦容量沒辦法壓縮!」

雖然尼克的 Outlook 6.0 和32 位處理器 LC-475 Mac 時代早已過去,但密碼在 20 年後的今天仍然存在,組織仍依賴它來驗證企業用戶身份。

隨著數位化創新步伐的加快,許多組織正以令人目眩的飛快速度採納新技術。每個新的企業應用程式或工具都會形成一個新的身份孤島,實行各自獨有的密碼管理要求(例如複雜度及輪換頻率)。

企業用戶必須對這些新系統重複驗證身份,以及維護(還要記住!)大量複雜密碼的需求都令服務台專業人員頭痛不已。他們不僅負責配置用戶身份,還要管理數百個(甚至數千個)公司帳號, 以及隨後排山倒海而來的密碼重設請求及帳號封鎖問題。

讓我們用一些產業估計值及簡單的計算量化這個龐大的密碼問題:

  • 每次呼叫服務台重設密碼的「整體」成本介於 40 美元至 50 美元之間:我們取 45 美元為平均值。
  • 據估計,在 COVID-19 疫情導致許多員工在家上班之前,每個企業用戶每年聯絡服務台處理 6 至 10 個密碼相關問題。因此,以一年 261 個工作日乘以每天工作 8 小時計算,相當於一年 2,088 個工作小時平均通報 8 次問題。換句話說,每工作 261 小時就會向服務台通報一個密碼問題。
  • 而如今,自從廣大的勞動力轉為遠距工作之後,美國知識工作者的一天平均工作時數已從8 小時延長至 11 小時。這意味著一年的總工作時數為 2,871 小時(一年 261 個工作日乘以每天 11 小時), 比「平常」多了 783 小時。這也表示每人平均通報多 3 個密碼相關問題。
  • 根據此數據,CyberArk 估計一家擁有 1,000 名員工的大型企業 ,每年須花費 495,000 美元解決密碼問題。(每人 11 個與密碼相關的服務台請求 x 每個請求 45 美元 x 1,000 個用戶。)

時間和資源早已捉襟見肘的 IT 服務台管理員不再專注於策略性的營運計劃,而是為解決密碼問題、履行服務級別協議(SLA)及應付沮喪的用戶而超時加班。

「別告訴我你的密碼是你家狗狗的名字…讓開!」

人類不擅於選擇高強度密碼,這早已眾所週知。他們往往會選擇過於簡單、普通、重複或共用的密碼。事實上,員工會在平均 16 個公司帳號中重複使用同一密碼。雖然使用密碼管理器解決此問題的做法很誘人,但並非全無風險。再者,密碼管理器無法管理何人可存取哪些敏感資源及設定存取時限。

攻擊者知道許多組織仍然只依靠一種驗證方法(例如一組憑證)保護對各種系統與工具的存取。若再結合使用允許廣泛存取許多系統與應用程式的單一登入做法,尤為危險。

他們很清楚,他們只需竊取或侵佔一個企業身份(任何一個)的憑證便能取得立足點,然後再升級該特權以獲取高價值資源。在今天,67% 的資料外洩事件是由憑證盜竊(使用盜取的密碼或弱密碼)及社交攻擊引起。

然而,當 IT 團隊為了安全起見實施更強大的身份驗證方法時,員工通常會發展出投機取巧的方法規避這些控制措施,或者為了保持生產效率而完全避免使用公司批准的系統及應用程式。

84% 的 IT 服務管理專業人員認為在未來三年內,IT 工作將變得更舉步維艱。這是有理可循的 – 因為他們發現自己已在盡可能確保所有系統及資料安全與保持團隊生產力之間陷入進退兩難的困境。

與其一次又一次重設密碼,不如考慮完全停用密碼

有先見之明的 IT 安全及服務台團隊可採用整合無密碼身份驗證方法的 零信任安全模型,在這兩者之間取得適當平衡及取回部分控制權。

藉由分層實施雲端單一登入(SSO)自適應多重要素驗證(MFA),這些團隊可克服普遍存在的密碼挑戰並確保用戶身份屬實,同時提供快速、反應敏捷且簡化的權限存取他們所需的一切。

根據情報及情境運作、以風險為基礎的存取權便可派上用場。借助機器學習及情境信號(包括用戶數據、裝置數據及活動數據),組織可根據歷史模式自動分析存取請求,為每一個登入嘗試分配風險度,並建立由異常行為觸發的存取政策。

此外,IT 服務台團隊可透過為員工提供自助服務機會來減輕自己的工作負荷,自動執行耗時的作業,並重新專注於保持業務營運及獲利的高影響力工作上。

正如尼克‧伯恩斯臨走前的那句經典老話:「噢,順道說一句…不客氣!」

Previous Article
CyberArk 對 2022 年 1 月 Okta 入侵事件的看法
CyberArk 對 2022 年 1 月 Okta 入侵事件的看法

Okta 是一家身分和存取管理供應商,經證實它在 2022 年 1 月一次有針對性的網路攻擊中其第三方支援工程師之機器遭受入侵。 3 月 22 日,犯罪組織 Lapsus$ 在網上分享了一些截圖,隨後證實了此消息。...

Next Article
採用單一登入加強身份安全的四大理由
採用單一登入加強身份安全的四大理由

雖然大家普遍認為「邊界已死」,但眼前的現實使許多組織不得不加快原先的計劃,升級其安全做法。 以防火牆與虛擬私人網路為基礎的傳統安全模型根本無法保護今日高度分散的 IT...