調查顯示，91％的人明知在多個賬戶上使用相同的密碼存在很大安全風險，但仍有66％的人在這么做。

　　如今在網絡黑市購買目標企業員工賬戶密碼幾乎成了網絡攻擊的標準操作，可以大大降低攻擊難度和風險。根據Verizon的《數據違規調查報告》，有81％與黑客相關的違規行為都利用了被盜密碼或弱密碼，只需一名員工的弱密碼就可以撬開重兵把守、重金打造的企業網絡安全防御體系。

　　IT安全從業人員都知道強身份驗證和密碼管理良好習慣的重要性，但由于可用性或易用性問題，密碼“衛生習慣”很難養成，而好的密碼管理解決方案則有助于企業填補弱密漏洞。

　　企業選擇合適的密碼管理解決方案需要考慮多種因素。以下我們整理了幾位網絡安全專家對此的見解。

　　Dashlane B2B增長負責人Simran Anand

　　密碼是企業網絡安全和風險管理鏈條中最薄弱的一環，因此選擇密碼管理器應該是IT決策者的重中之重。盡管這個問題在大多數人眼里似乎是顯而易見的：安全性（高級加密、2FA等）、服務支持和價格，但這里需要強調的是最終用戶的體驗，這一點至關重要。因為用戶采用率仍然是IT部門最大的挑戰。在評估密碼管理工具時，只有17％的IT主管將用戶體驗列入考核指標。

　　因此，毫不奇怪的是，那些在公司中部署了密碼管理器的人報告員工采用率只有23％。對于那些希望為其公司保證安全流程的IT領導者而言，最終用戶體驗必須是優先事項。

　　密碼管理作為安全鏈中的一個至關重要的環節，不能因缺乏采用而導致效能大打折扣（僅告訴員工遵循良好的密碼習慣并不足以杜絕安全陋習）。為了使企業能夠利用下一代密碼安全性的好處，他們需要確保其密碼管理解決方案易于使用，并被所有員工采用。

　　LogMeIn首席信息安全官Gerald Beuchelt

　　未來很長一段時間，全球的遠程辦公將成為新常態，網絡犯罪分子將首先從安全衛生習慣糟糕的員工身上下手。盡管企業和員工，甚至包括高級管理層都知道密碼整體安全性中扮演著重要的角色，但許多人仍在忽略最佳密碼規范做法，因此，企業應實施密碼管理解決方案來固化好的安全習慣和密碼規范。

　　選擇密碼管理解決方案時主要關注以下幾點：

　　·能夠監視不良的密碼衛生習慣，并提供可視化的改進措施，以鼓勵更好的密碼管理。

　　·在整個組織中的標準化和實施策略，以提供足夠的密碼保護強度。

　　·提供一個安全的密碼管理門戶，使員工可以方便地訪問所有帳戶密碼。

　　·提供有關潛在威脅的詳細安全報告。

　　·使IT部門能夠審核用戶具有的訪問控制權限，從而可以更改權限并鼓勵使用新密碼。

　　·與以前和現有的基礎架構集成，以自動化和加速工作流程。

　　·監督用戶何時共享賬戶，以保持安全感和責任感。

　　總之，使用有效的密碼管理解決方案對于保護業務信息至關重要。尋找正確的解決方案不僅有助于改善員工的密碼行為，還可以提高組織的整體在線安全性。

　　Bitwarden首席執行官Michael Crandell

　　員工每天在線工作時都需要記憶大量高強度密碼，無疑是一個巨大的挑戰。密碼管理器簡化了復雜密碼的生成、存儲和共享，這是實現密碼安全性的必備條件。

　　市場上有許多信譽良好的密碼管理器，企業應優先考慮可跨平臺工作并且收費合理的產品。企業還應該考慮該解決方案是否可以部署在云中或本地。出于安全性和內部合規性的原因，某些企業通常會首選本地部署方式。

　　無論是對于初學者還是高級用戶，密碼管理器都必須易于使用。任何員工都應該能夠在幾分鐘內在其設備上啟動并運行。

　　最近，許多企業已經轉向遠程工作模型，這突出了在線協作的重要性以及在線共享工作資源的需求。考慮到這一點，企業應優先考慮提供安全方法以在團隊之間共享密碼的方案，確保分散的遠程團隊中每個人的訪問安全。

　　最后，可以嘗試尋找基于開源代碼開發的密碼管理器。開源意味著源代碼可以由經驗豐富的開發人員和安全研究人員審核，他們可以識別潛在的安全問題，甚至為解決這些問題做出貢獻。

　　今年6月份，蘋果公司發布了一組面向密碼管理器開發者（包括整個APP開發生態）的免費資源和工具。這些工具資源統稱Password Manager Resources，目前已經在Github上開源。解決了開發者的一個頭疼問題：密碼管理器生成的強密碼很多時候無法與網站密碼規則匹配。（編者按：例如很多網站支持的密碼長度不一，有的支持64+字符數的長密碼，有的僅支持不到20字符的短密碼）

　　1Password首席運營官Matt Davey

　　65％的人會重復使用部分或全部賬戶的密碼。通常，這是因為他們沒有正確的工具來輕松創建和使用強密碼，這就是為什么需要密碼管理器的原因。

　　一個好的密碼管理器可讓您監督對企業最重要的事情：來自誰的登錄賬戶，上次訪問特定項目的人員，或您域中的哪個電子郵件地址已包含在違規行為中。

　　密碼管理器還可以減輕管理員的負擔，能夠按組管理訪問，委派管理員權限并大規模管理用戶。根據企業的業務結構，按項目，位置或團隊授予對信息的訪問權限是值得推薦的做法。

　　您還需要考慮密碼管理器如何適合您現有的IAM/安全技術堆棧。一些密碼管理器與身份提供商集成，從而簡化了配置和管理。

　　最重要的是，如果您希望員工采用密碼管理器，請確保它易于使用：只有您的員工實際使用了密碼管理器，其安全性才能發揮作用。