2025年密碼安全：培訓與實踐的差距

INE安全警報：2025年世界密碼日網絡安全培訓見解

2025年5月1日，北卡羅來納州卡里（GLOBE NEWSWIRE）——作為全球領先的實踐性網絡安全培訓和認證提供商，INE安全今天發布了對當前密碼安全狀況及安全團隊培訓最佳實踐的專家分析，因為組織在2025年5月1日慶祝世界密碼日。

威脅情報數據顯示，儘管安全專家已發出多年的警告，密碼漏洞仍然是全球黑客的首要目標。儘管公司不斷投資於先進的安全技術，但普通的密碼仍然是大多數組織的前門，而這扇門往往是鎖壞的。

INE安全的首席執行官達拉·沃恩（Dara Warn）表示：“儘管技術不斷進步，但與密碼相關的違規事件仍然主導著安全事件，這令人擔憂。我們發現安全培訓與實施之間存在持續的差距——團隊知道應該做什麼，但將這些知識付諸實踐仍然具有挑戰性。因此，我們強調實踐性、動手的網絡安全培訓，將安全知識轉化為有意義的行動。”

INE安全的分析揭示了2025年三個關鍵的密碼安全趨勢：

憑證填充攻擊愈演愈烈
根據《黑客新聞》的報導，盜竊的憑證在2023/24年成為首要攻擊方法，憑證填充攻擊造成了大量損害。這些攻擊佔據了80%的網絡應用程序違規事件。

人們並未使用密碼管理器
儘管有證據顯示密碼管理器有效，但其採用率仍然低迷。JumpCloud的分析發現，83%的企業組織使用多因素身份驗證（MFA），但小型企業的比例僅為60%。更令人擔憂的是，Security.org在2024年的研究顯示，只有36%的人使用密碼管理器，僅比去年多出2%，而超過一半的人仍依賴記憶來管理憑證。

黑客在繞過MFA方面變得更為高明
雖然多因素身份驗證有所改善，但專門設計來竊取驗證碼的釣魚攻擊活動變得更加複雜。Keepnet Labs發現，15-20%的釣魚攻擊現在專門針對繞過MFA保護。

解決這些漏洞需要全面的網絡安全培訓，以準備團隊應對現實世界的威脅。

安全培訓現實差距

INE安全建議採取新方法來改善安全培訓，增強密碼保護：

讓培訓有意義：拋棄年度合規性檢查的培訓，轉向模擬實際憑證攻擊的現實網絡安全培訓場景。IBM發現，表現最佳的公司提供有效培訓的可能性比表現較差的公司高出68%。接受適當培訓的團隊每年可節省約70,000美元，並且生產力提高10%。

實踐真實操作：設立安全實驗室和網絡演習場，讓人們親身體驗模擬的密碼攻擊，培養他們在網絡安全職業中的關鍵技能。F.Learning Studio發現，面對模擬攻擊的員工能夠發展出更深的理解，並保持警覺。

培訓、實踐、認證、重複：不要只培訓一次就忘記。根據Keepnet的數據，持續結構化的培訓使公司的每位員工收入比偶爾培訓的公司高出218%。

將安全融入企業文化：通過將安全作為公司DNA的一部分，縮小安全知識與實際操作之間的差距。INE安全的報告顯示，網絡安全培訓計劃是保持組織在雲依賴環境中安全的最有效方法。

沃恩總結道：“數據一再顯示，投資於全面、實踐性的安全培訓的組織在安全結果上實現了可衡量的改善，並從中獲得了顯著的投資回報。在世界密碼日，我鼓勵安全領導者仔細評估他們當前的培訓方法，並考慮如何更好地培養團隊應對當今複雜的基於密碼的威脅所需的實踐技能。”

在當今的數字時代，密碼安全不僅僅是技術問題，更是企業文化和員工意識的體現。企業應該將安全培訓視為一項長期投資，而不是短期的合規性任務。透過持續的實踐和教育，組織能夠在面對日益增長的網絡威脅時，建立一個更為堅固的防線。

以上文章由特價GPT API KEY所翻譯及撰寫。而圖片則由FLUX根據內容自動生成。