多重身份驗證 MFA、密碼已過時?調查揭 92% 受訪資安長正在做「無密碼身份驗證」
無論是第一線員工還是負責網路安全的資安長(CISO),幾乎沒有人喜歡處理密碼問題。《CNBC》報導,越來越多公司正在棄用密碼這項技術,甚至表示其他先進的替代方案例如「多因素身份驗證」,也已經過時了,朝向「無密碼認證」邁進。
無密碼驗證(Passwordless authentication)是指在不使用傳統密碼的情況下,透過其他方式驗證使用者身分,例如硬體或內建金鑰(如 FIDO2 / Passkey)、生物辨識或行動裝置推播通知。
根據美國市調公司 Wakefield Research 針對 200 位資安長進行的一項最新調查顯示,高達 92% 的受訪者表示,他們的組織已經實施或正計劃實施無密碼身份驗證技術。這個數字相較於 2024 年的 70% 有顯著成長,顯示企業對於淘汰傳統密碼的共識正在加速。資安長普遍認為,無密碼身份驗證的優點在於提高員工生產力、改善使用者體驗。
傳統 MFA 已顯老態,釣魚攻擊推動技術升級
值得關注的是,這股浪潮不只正在取代純文字密碼,連過去被視為資安「黃金標準」的多因素身份驗證(MFA)也開始受到挑戰。
數位產品工程服務供應商 R Systems International 的技術長 Srikara Rao 直言,當前的威脅環境已經超越 MFA 能防禦的範圍,「過去奉為圭臬的多因素驗證已經讓人力不從心。」該組織遭遇的釣魚攻擊與憑證竊取事件大幅增加,幾次差點造成重大事故,迫使其尋找能抵禦釣魚的下一代技術。
《Analytics Insight》分析,傳統依賴簡訊驗證碼的雙重驗證(2FA)存在重大安全漏洞,惡意行為者可能會攔截含有驗證碼的簡訊,或是透過網路釣魚誘導使用者輸入憑證。
密碼重置成本驚人,無密碼技術成降本增效關鍵
除了安全考量,營運成本也是企業急於轉型的重要推手。根據研究機構 Forrester 的估計,單次密碼重置的成本可能高達 70 美元。這筆費用包含了直接的人力支出,以及員工因無法登入而產生的生產力損失與 IT 資源的消耗。對於大型企業而言,這些累積起來的成本相當可觀。
服務供應商 Universal Technical Institute 正在分階段導入無密碼流程,其技術長 Adrienne DeTray 告訴《CNBC》,過去公司不斷增加新的系統和登入流程,這類技術反而成為行政負擔。而其在導入無密碼平台後,服務台工單明顯下降,員工早上登入流程加快,整體文化也因不再被密碼拖累而變得更靈活。
此外,合規需求也是一大驅動力。一些國家如美國也開始要求在 PCI 4.0 等標準中,要求使用者在重新啟動或存取系統時必須重新驗證身份。Srikara Rao 認為,無密碼驗證能讓這個過程變得無縫且流暢,同時向外界傳遞出企業具備前瞻性思維與資安優先的形象。
自帶設備政策興起,企業未知風險增加
根據報導,醫療服務供應商 Diversus Health 則是因為採行了「自攜裝置」(BYOD)政策,在年度 HIPAA 合規稽核中發現缺乏網路存取控制是高風險威脅。
其 IT 安全管理員 Neil Ford 表示,他們部署了憑證式驗證系統,透過雲端端點管理解決方案部署憑證,讓驗證過程對員工來說是透明無感的,有效緩解了未知裝置連接公司網路的風險。
員工教育是成敗關鍵,避免投資淪為「架上軟體」
根據《Precedence Research》的市場報告,全球無密碼驗證市場規模在 2024 年已達 191.4 億美元,預計到 2034 年將成長至 825 億美元,年均複合成長率(CAGR)達到 15.73%。
然而儘管採用率正逐漸上升,但市場對 Passkeys 的認知仍不一致。根據 Yubico《2025 全球驗證現況調查》,全球有 45% 的非使用者表示從未聽過無密碼登入。即使技術供應商已在持續改善使用門檻,這樣的認知差距仍成為技術推廣的主要障礙。
Srikara Rao 強調,成功採用的關鍵在於向員工溝通「為什麼」要改變。員工需要克服數十年的密碼肌肉記憶,並處理像是「如果我遺失裝置怎麼辦?」這類合理的焦慮。R Systems 在轉型前舉辦了小型互動式培訓課程,讓員工熟悉指紋辨識等工具。
R Systems 強調,如果不提供使用者教育,這項投資很可能淪為無人使用的「架上軟體」。企業不應將無密碼驗證包裝成另一個資安命令,而應強調它能帶來的直接好處:更少的挫折感、更快的登入速度,以及徹底消除密碼重置的麻煩。
*本文開放合作夥伴轉載,資料來源:《CNBC》、《Analytics Insight》、Precedence Research,首圖來源:Unsplash