進入21世紀第二季度，弱密碼問題猶如頑疾，全球員工仍慣用「password」或「santa」等易猜組合，卻讓駭客輕鬆得手。根據資安媒體Dark Reading最新調查，組織不再強迫使用者記住複雜密碼，而是大舉轉向單一登入（SSO）與Passkeys無密碼認證，近三分之一受訪者已採用此模式。對台灣而言，這是數位轉型關鍵轉捩：逾70%企業依賴雲端服務，若延續舊習，恐放大釣魚與認證洩露風險。資安專家呼籲，台灣組織應加速遷移，借鏡國際趨勢，防範後續供應鏈攻擊，確保商業安全。

 

弱密碼的頑固性早已不是新聞。Outpost24的SpecOps團隊最近剖析8億筆洩露密碼，即便僅篩選節慶主題，仍挖出75萬筆弱點：近10萬帳戶用「santa」，逾20萬選「snow」，更有「blackfriday」、「cybermonday」或「kwanzaa」等，凸顯使用者偏好簡單而非安全。過去半世紀，個人電腦普及以來，組織多試圖以強制政策應對：規定8-12位混合大小寫、數字、符號的「鐵律」，或推廣多因素認證（MFA）。但前者導致員工將密碼藏於Excel或iPhone Notes，後者則被駭客以簡訊攔截或SIM卡交換破解。

Dark Reading上月調查逾千讀者，結果樂觀：僅25%組織仍強迫複雜密碼，17%轉用易記密碼短語，20%採用密碼管理器。最主流的是33%受訪者使用SSO或Passkeys，嚴限或完全廢除靜態密碼。Sectigo資深研究員Jason Soroko預測，「SSO加Passkeys將成主流，平台預設支援將加速轉移；密碼管理器與短語將逐步轉換，傳統模式在雲端與監管環境中縮減最快。」這反映資安思維轉變：非改造人性，而是繞道前行。

 

台灣情勢相似卻更急迫。根據資策會2025年資安報告，本地企業弱密碼使用率高達65%，尤以中小企業為烈，多因人力有限，忽略定期更換。近期事件如菲律賓選舉用零知識證明強化安全，或駭客劫持實體貨運（相關報導），皆顯示認證漏洞成供應鏈弱環。台灣作為亞太雲端樞紐，Microsoft Azure與Google Workspace市佔逾50%，若員工慣用「123456」，釣魚攻擊成功率將飆升。Portnox委託Wakefield Research調查200名美國CISO，96%認為MFA跟不上威脅景觀；台灣金管會2025年指引亦強調，金融業須於年底前評估無密碼方案，否則面臨罰鍰。

 

無密碼認證的魅力在於實效。Portnox CISO報告顯示，92%組織正實施此模式，一年前僅70%；Keeper Security早2025年調查，80%企業已採用或計劃Passkeys。Portnox執行長Denny LeCompte表示，「這非形式主義，而是業務驅動：52%減低釣魚與重複使用風險，41%提升生產力（少登入失敗與重置票），39%改善使用者體驗。」Passkeys基於FIDO2標準，使用公私鑰對與生物辨識（如指紋或臉部），取代靜態密碼；SSO則以單一憑證跨應用，減少管理負荷。想像員工僅需一次臉部掃描，即登入Office 365與CRM系統，效率倍增。

 

然而，轉型並非一帆風順。BeyondTrust資深安全研究經理Fletcher Davis點出三道逆風：舊有應用不支援現代認證、使用者抗拒工作流程中斷，以及前期成本高昂。「這些障礙互疊：舊系統推升遷移費用，延長使用者摩擦，導致組織癱瘓，」Davis說，「團隊困於密碼依賴，非因安全高效，而是遷移需技術、金融與文化同步。」台灣面臨類似挑戰：許多製造業如面板或電子業，遺留系統佔比逾40%，遷移至Passkeys需重寫介面，成本動輒數百萬元。使用者端，資深員工習慣舊習，恐視生物辨識為隱私威脅。

 

Dark Reading調查雖正面，但限於資安從業讀者，可能高估普及率。事實上，全球轉型差距明顯：雲端原生企業如Netflix早廢密碼，傳統銀行卻猶豫。台灣數位發展部（數發部）2025年資安白皮書估計，僅30%組織達無密碼門檻，遠低於美歐。為縮小落差，專家建議分階段推進：先從高風險應用如郵件與VPN導入SSO，再擴及全域Passkeys。LeCompte強調，「業務影響是關鍵：減低認證疲勞，提升員工滿意。」

 

台灣可借鏡國際成功案。1Password近期修補AI瀏覽器代理安全缺口，即凸顯無密碼在AI時代的必要；Portnox則推廣混合模式，舊系統用MFA過渡，新應用直奔Passkeys。企業如台積電，已於2024年試點SSO，2025年擴大至供應鏈夥伴，防範內鬼與外部入侵。政府層面，數發部應補助舊系統遷移，推廣免費工具如YubiKey硬體鑰匙。教育不可缺：舉辦「資安週」，教導員工辨識弱密碼陷阱，轉而擁抱生物辨識。

 

逆風雖存，前景光明。Soroko預見，「即時釣魚侵蝕密碼與一次性碼信心，Passkeys將成預設。」Davis補充，「克服癱瘓，組織將獲韌性躍升。」在台灣半導體與金融主導的經濟中，無密碼非奢侈，而是生存必需。2025年弱密碼數據雖令人扼腕，但轉型浪潮已起。資安領導者應把握時機，聯手技術與人文，擺脫舊枷鎖，邁向安全未來。唯有行動，方能讓台灣數位堡壘固若金湯。

 

 

出處：本新聞參考自Nate Nelson於2025年11月14日發表於Dark Reading的報導《Orgs Move to SSO, Passkeys to Solve Bad Password Habits》。