1Password 2025 年年度报告：访问 - 信任差距

目录

1. 引言
2. 人工智能应用激增，安全防护难以跟上步伐
3. 核心洞见
4. 软件即服务（SaaS）蔓延与影子IT规避安全工具监控
5. 下一个前沿领域：无密码认证
6. 终端安全防护覆盖设备不足，风险漏洞较多

哈喽比特提醒：下载PDF文件，获取图文并茂的阅读体验。

2025年是身份安全领域具有关键意义的一年，这一年既涌现出重大技术突破，也面临着日益严峻的风险挑战。人工智能已成为自互联网诞生以来最具变革性的力量，如今我们正迈入新的篇章——智能体人工智能（Agentic AI）时代。在这个时代，自主智能体可代表人类在多个系统中运行，完成以往唯有人类才能胜任的工作。

然而，在这股创新浪潮袭来之际，SaaS（软件即服务）应用普及、生成式人工智能发展、设备不受管控以及身份体系混乱等问题，早已给身份安全防护带来巨大压力。安全与IT领域的负责人正全力应对各类不受管控、存在安全隐患的访问行为，而传统的身份与访问管理工具已难以应对这些挑战。曾被吹捧为能够实现访问管理与安全防护“一刀切”解决方案的单点登录（SSO）工具，如今也暴露出明显的局限性。

造成这一局面的主要根源在于“蔓延”问题：SaaS应用蔓延导致访问权限管理不到位，影子IT（未获企业批准的IT系统和应用）现象愈发普遍；设备蔓延使得员工通过不受管控、存在安全漏洞的设备访问企业数据；身份体系蔓延则催生了不安全的认证方式，致使优质安全工具难以发挥作用。

上述问题最终导致了我们所说的“访问-信任差距”：安全与IT团队能够管控的访问类型，与实际中人员（如今还包括人工智能智能体）访问敏感系统和数据的方式之间，差距正不断扩大。

我们曾信赖的每一款访问管控安全工具，无论是单点登录（SSO）、身份访问管理（IAM）还是移动设备管理（MDM），都已无法跟上当下实际工作场景中访问方式的变化。

如今，在本已脆弱的安全生态系统中，又加入了智能体人工智能。当下正是时候，我们需要重构访问管理的基础架构，突破以往能力的局限，确保在工作开展的所有场景中，都能实现基于场景的智能访问管控。

至关重要的是，在这个新环境中，安全防护必须成为员工工作的助推器。现代IT与安全团队不应再沿用以往封锁工具和设备的老旧策略，而应在合理的安全边界内，为员工提供开展工作所需的应用与工具，助力他们提升工作效率。若忽视员工的实际需求，不仅会对业务成果产生不利影响，还可能促使员工为规避公司政策而采取不安全的变通做法。

本报告中的数据既揭示了当前我们在安全防护方面存在的不足，也为未来指明了清晰方向——通过努力，我们有望缩小“访问-信任差距”，为员工赋能，并做好充分准备，迎接全新的工作时代。

核心洞见

《1Password 2025年年度报告》基于1Password委托开展的一项调查，涵盖5000余名知识工作者。报告揭示了“访问-信任差距”在多个领域的具体体现，以及受保护资源访问在这些领域缺乏妥善管理与有效管控的问题，涉及生成式人工智能、SaaS应用、身份凭证和终端用户设备等方面。

01. 人工智能应用广泛，但政策合规性低

73%的员工在部分工作任务中被鼓励使用人工智能工具，但37%的员工承认，他们并非始终遵守公司的人工智能使用政策。

27%的员工曾使用过未经雇主批准的人工智能类应用。

02. 应用生态系统受SaaS蔓延、影子IT困扰

70%的IT与安全领域专业人士表示，单点登录（SSO）工具并非保障员工身份安全的完整解决方案。

52%的员工曾在未获得IT部门批准的情况下下载应用。

03. 身份凭证风险加剧，企业纷纷采用无密码认证

89%的企业积极鼓励员工使用密钥（Passkeys）。

44%的首席信息安全官（CISO）表示，员工使用安全性弱或已泄露的身份凭证，是他们面临的主要挑战之一。

04. 终端安全挑战升级，移动设备管理（MDM）能力不足

75%的首席信息安全官（CISO）认为，移动设备管理（MDM）工具无法为受管控的企业设备提供全面保护。

73%的员工使用个人设备处理工作，其中至少半数设备未纳入移动设备管理（MDM）体系。

各国核心洞见与调查结果

01. 人工智能应用广泛，但政策合规性低

“大部分时间”仅遵守公司人工智能政策的员工比例：

• 美国：30%
• 加拿大：40%
• 英国：38%
• 法国：36%
• 德国：31%
• 新加坡：无数据

曾使用过未经雇主批准的人工智能类应用的员工比例：

• 美国：27%
• 加拿大：25%
• 英国：26%
• 法国：28%
• 德国：40%
• 新加坡：30%

02. 应用生态系统受SaaS蔓延、影子IT及“隐形访问”困扰

离职后仍能成功访问前雇主账户、数据或应用的员工比例：

• 美国：43%
• 加拿大：34%
• 英国：34%
• 法国：46%
• 德国：无数据
• 新加坡：无数据

未获IT部门批准就下载应用的员工比例：

• 美国：56%
• 加拿大：51%
• 英国：45%
• 法国：75%
• 德国：69%
• 新加坡：49%

03. 身份凭证风险加剧，企业纷纷采用无密码认证

表示公司正积极鼓励员工将登录方式转为密钥（Passkeys）的安全与IT领域专业人士比例：

• 美国：91%
• 加拿大：90%
• 英国：87%
• 法国：91%
• 德国：无数据
• 新加坡：无数据

认为员工使用安全性弱或已泄露的身份凭证是主要安全隐患的IT与安全领域专业人士比例：

• 美国：51%
• 加拿大：49%
• 英国：47%
• 法国：70%
• 德国：76%
• 新加坡：无数据

04. 终端安全挑战升级，移动设备管理（MDM）能力不足

认为移动设备管理（MDM）无法为受管控设备提供全面保护的IT与安全领域专业人士比例：

• 美国：73%
• 加拿大：57%
• 英国：无数据
• 法国：无数据
• 德国：75%
• 新加坡：63%

每月至少使用一次个人设备处理工作的员工比例：

• 美国：92%
• 加拿大：88%
• 英国：75%
• 法国：73%
• 德国：无数据
• 新加坡：43%

01. 人工智能应用激增，安全防护难以跟上步伐

企业与员工正迅速部署生成式人工智能工具以提升工作效率，但安全政策与管控措施却未能同步跟进。尽管73%的员工在部分工作任务中被鼓励使用人工智能工具，但仅有少数人在明确的政策框架下使用；这种政策不明确且执行不到位的情况，使企业面临可避免的合规风险与数据泄露风险。

调查结果还凸显出一个令人担忧的问题：对于员工可使用哪些人工智能工具、如何使用这些工具，目前缺乏有效的安全防护措施。40%的受访者表示，他们“仅能在特定任务中使用经公司授权许可的人工智能工具”，但有30%的受访者称，公司“鼓励他们在各类任务中尝试使用生成式人工智能工具”。

数据表明，企业不仅缺乏周全、详尽的人工智能使用政策，也没有有效的执行手段。

这一政策漏洞因非技术岗位员工对公司人工智能政策的认知不足而进一步加剧。仅有6%的IT与安全领域专业人士认为公司缺乏人工智能使用政策，但在其他岗位员工中，这一比例高达16%。这意味着即便存在安全管理边界，也未能在全体员工中进行清晰传达。

同样，仅有1%的IT与安全领域专业人士表示不了解公司的人工智能政策，而其他岗位员工中这一比例为11%。

问题：您是否遵守公司关于使用生成式人工智能应用的政策？

当员工知晓公司的人工智能政策后，接下来的问题便是：他们是否会遵守这些政策？初看之下，数据似乎显示情况尚可——94%的受访者表示会遵守公司关于使用生成式人工智能的政策。但深入分析后发现，37%的员工仅“大部分时间”遵守公司的人工智能政策，这意味着超过三分之一的受访者会在符合自身利益时，有意且明知故犯地违反政策。

数据来源：知晓公司人工智能政策的受访者，共4198人

问题：贵公司关于员工在工作中使用生成式人工智能工具的政策是什么？

数据来源：所有受访者，共5200人

“随着人工智能工具的快速普及，安全领域负责人如今比以往任何时候都更迫切地需要在安全防护与工作效率之间找到平衡。员工使用人工智能工具的方式不断增多，其速度远超政策制定的速度。安全与隐私保护团队需要借助相关工具了解人工智能工具的使用情况，制定管控措施，并随着这些技术的应用不断调整完善。” ——雅各布·德普里斯特（Jacob DePriest），1Password首席信息安全官兼首席信息官

影子人工智能（Shadow AI）

影子人工智能指未经授权使用生成式人工智能工具的行为，它已迅速成为最普遍、最危险的影子IT形式之一，其风险程度仅次于电子邮件相关风险。员工在未经公司监督或不知情的情况下使用人工智能工具，会带来重大安全隐患：这些工具可能会将敏感信息纳入训练数据，违反法律法规与合规要求，甚至可能本身就是恶意软件。

令人不安的是，数据显示影子人工智能是第二大常见的影子IT形式，仅次于电子邮件相关问题。

四分之一（27%）的员工曾使用过未经公司采购或批准的人工智能类应用。

“我们知道有数据正流入我们无法管控的大型语言模型（LLM）。目前我们能做的，最多是签署企业协议以获得一定的法律保护，但如果有人使用未经协议授权的工具，我们就无法获得任何保护。” ——尼克·特里普（Nick Tripp），杜克大学首席信息安全官

“一款基于人工智能的日程优化服务，若通过‘只读权限’和‘认证令牌’直接与企业邮件系统集成，在正常运行时无疑能提升工作效率。然而，一旦遭遇安全漏洞，这种直接集成会让攻击者获得前所未有的权限，得以访问机密数据和重要内部通信。实际上，这类集成模式将身份认证（验证身份）与授权（授予权限）简化为过于单一的交互过程，实质上是在互联网系统与私人内部资源之间建立了基于单一因素的‘明确信任’关系。这种架构上的倒退，破坏了已被实践证明有效的基本安全原则。” ——帕特里克·奥佩特（Patrick Opet），摩根大通首席信息安全官 （摘自《致第三方供应商的公开信》，2025年）

生成式人工智能可能带来严重的安全风险，即便是看似无害的应用，也可能导致敏感数据泄露、生成带有偏见或错误的输出结果，甚至存在恶意功能。当人工智能工具被用于更高级别的任务时，这些风险还会进一步升级。若员工使用未经授权的人工智能工具输入敏感客户信息或知识产权，并基于该人工智能工具（可能存在错误）的输出做出重要决策，这些行为不仅会使数据被纳入训练模型，还可能引发合规责任问题。研究表明，此类敏感的人工智能使用行为相当普遍。

问题：您在工作中使用人工智能时，曾采取过以下哪些行为？

• 借助人工智能分析客户数据：21%
• 借助人工智能分析公司数据：16%
• 分享客户通话记录以进行转录和总结：22%
• 利用公司数据撰写报告或制作演示文稿：21%
• 分享公司数据并基于此做出重要决策：19%
• 利用员工数据开展绩效评估或招聘工作：16%

数据来源：员工群体，共3292人

如何降低人工智能安全风险

生成式人工智能工具具有变革性潜力，但与所有强大技术一样，它也带来了新的风险类别，从意外的数据泄露到提示注入攻击（Prompt Injection Attacks）不等。这些风险需要新的访问管理策略来应对。

然而，生成式人工智能的变革速度过快，即便经验最丰富的安全专业人士也始料未及，不得不同时应对多种类型的风险。要提升生成式人工智能工具的安全性，企业必须转变思路，从事后应对人工智能风险，转向事前预判风险。

作为基础措施，企业需要持续监控未经授权的工具和人工智能智能体的存在，并具备在其造成损害前有效阻止它们的能力。

但仅靠“阻止”不能成为首席信息安全官（CISO）管理人工智能安全风险的全部策略。正如我们所见，员工已然愿意绕过他们不理解或不认同的政策。这意味着安全与IT团队必须制定详尽、贴合实际的人工智能使用政策，并确保全体员工真正理解这些政策。

此外，当发现员工使用未经授权的工具时，关键在于了解他们从这些工具中获得的价值，以便引导他们使用更安全的替代应用来满足相同需求。

最后，企业领导层在设计安全防护与访问管理体系时，必须充分考虑人工智能的未来发展趋势。下一波浪潮是智能体人工智能，且它已悄然来临。人工智能智能体能够自主运行、自主决策，并在无需监督的情况下跨应用边界工作。这要求企业调整访问管理策略以适配这些智能体：为它们提供正常运行所需的数据访问权限，防止它们超出设定范围，同时在必要时撤销其访问权限。

“随着这些基于人工智能的解决方案不断普及，它们将取代依赖人工输入和静态认证模式的传统企业应用。要安全地管理大量智能体的访问权限，需要专门设计的新型工具，以满足非人类身份的独特需求。” ——Omdia，《扩展访问管理（XAM）如何填补安全漏洞》，2025年

关键举措：人工智能治理

人工智能治理是每个企业都必须突破现有能力边界的领域，而该领域的最佳实践与核心原则仍在逐步形成中。任何合理的人工智能治理方案都必须从“发现”入手，并且需要来自企业各部门的负责人参与，以平衡（有时相互冲突的）效率需求与安全需求。

1. 完整记录企业内部正在使用的人工智能工具清单，并定期开展审计。
2. 制定明确的政策，规范人工智能工具的合理使用，引导用户采用安全的工具和操作方式。
3. 投入资源建立管控机制，确保只有经公司授权的人工智能工具才能访问企业数据。

02. SaaS蔓延与影子IT规避安全工具监控

“SaaS爆发式增长”已持续多年，以至于“凡事皆有应用可解”这句话都成了老掉牙的玩笑。但应用（包括网页应用）的激增趋势毫无放缓迹象，或许我们应该把这个玩笑更新为：“凡事都有15款应用可解，但只有1款获批准供员工使用，且至少有2款实际上是恶意软件。”

SaaS的爆发式增长早已超出传统IT监管的能力范围。如今，企业面临的局面是：数百款基于云服务和浏览器的应用正被广泛使用，其中许多应用都未被IT部门察觉或管控。影子IT不再是边缘行为，而是对现代访问管理构成根本性威胁的因素。即便对于经授权的应用，若访问权限管理不当、员工离职时权限未彻底注销，或未通过单点登录（SSO）进行保护，也会存在安全风险。

“SaaS蔓延导致影子IT现象急剧增加：员工使用未经安全团队批准或不知情的应用和工具。要保护企业安全，就必须确保所有员工使用的应用都处于安全管控之下，而非仅管控经授权的应用。” ——Omdia，《扩展访问管理（XAM）如何填补安全漏洞》，2025年

即便是企业已知并管理的应用，在员工入职至离职的全生命周期中，也未能得到妥善的权限管理。

在上述两种情况下（SaaS蔓延与影子IT、授权应用管理不当），现有的安全工具（尤其是单点登录SSO）都无法有效发现和管理应用。且在这两种情况下，都可能引发一系列后果，包括权限管理不当、数据泄露、合规违规以及软件许可费用浪费等问题。

我们的调查数据凸显了企业在尝试管理其SaaS生态系统时面临的两大核心问题：

影子IT

员工使用超出IT部门监控和管控范围的工具，这种现象十分普遍。

“员工经常使用未经授权的应用处理工作” 影子IT不仅常见，更是已成为一种系统性问题。52%的员工表示，他们曾在未获得IT部门批准的情况下下载与工作相关的应用。此外，这一数据很可能被低估，因为许多用户在估算使用量时，并未将Grammarly（语法检查工具）或Perplexity（人工智能搜索工具）等基于浏览器的网页应用纳入统计。

“实际上，使用影子IT的员工比例可能远高于52%，因为我们所说的不仅仅是下载应用——人们会频繁使用Grammarly、Monday（项目管理工具）等网页应用，而这些应用会导致企业数据泄露。但由于它们通过浏览器运行，用户往往不认为它们是‘应用’。” ——布莱恩·莫里斯（Brian Morris），Gray Media公司副总裁兼首席信息安全官

当我们询问员工为何在未咨询IT部门的情况下下载应用时，答案主要集中在便利性和工作效率上。极少有受访者表示自己不知道需要申请许可。

问题：您在未咨询IT部门的情况下下载应用，是否有特定原因？

• 使用这些应用更方便：45%
• 使用这些应用能提高我的工作效率：43%
• 我的整个团队都在使用：44%
• 公司批准的软件无法满足我的需求：21%
• 我不知道需要申请许可：4%

数据来源：曾在未咨询IT部门的情况下下载应用的员工，共1709人

员工会在这些未经授权的应用上从事高风险行为，包括尝试使用人工智能工具、进行基于云的文件共享以及开展软件开发等。

影子IT可能引发灾难性后果。IBM的研究发现，三分之一的数据泄露事件与影子数据（未经授权收集、存储或使用的数据）相关。 ——IBM，《数据泄露成本报告》，2025年

SaaS访问管理与单点登录（SSO）的局限性

对于希望集中管理企业应用访问权限的企业而言，单点登录（SSO）是首选解决方案。SSO将自身定位为“全方位身份安全解决方案”，声称能够实现安全高效的员工入职与离职权限管理、有效的权限分配，并能识别未使用的软件许可。但实际情况是，70%的IT与安全领域专业人士表示，单点登录（SSO）工具并非保障员工身份安全的完整解决方案。

单点登录（SSO）的实施过程往往困难重重，且因所谓的“SSO税”（即额外费用）而成本高昂；此外，多种身份类型（超级管理员、多渠道访客、遗留账户等）都能绕过SSO，通过其他方式登录应用。

调查数据证实，单点登录（SSO）的应用远未普及。IT与安全领域专业人士报告称，平均仅66%的应用接入了SSO。这不仅意味着三分之一的应用处于未受保护状态，也未能将未经授权的影子IT纳入管控范围。

单点登录（SSO）存在局限性的一个重要迹象是：即便IT部门认为已成功注销离职员工的权限，这些员工仍可能保留访问权限。超过三分之一（38%）的员工在离职后，仍能成功访问前雇主的账户、数据或应用。

34%的应用未通过单点登录（SSO）进行保护。

这一现象的原因错综复杂，在《为何单点登录（SSO）远远不够》（1Password，2025年）报告中有详细分析，该报告深入探讨了SSO的优势与固有局限性。

“员工离职权限管理之所以困难，是因为许多应用未接入SSO，而且各供应商对系统for跨域身份管理（SCIM）的实施效果参差不齐。因此，即便你通过SSO供应商注销了某人的访问权限，也很容易遗漏某些应用，需要持续监控。” ——马克·希利克（Mark Hilick），Brex公司首席信息安全官

如何管理SaaS访问与影子IT

减少SaaS蔓延、消除影子IT以及加强员工全生命周期权限管理，这三个问题相互关联。IT与安全团队应寻求能够同时实现这三个目标的解决方案——即在整个SaaS生态系统中识别、保护和管理访问权限。但在管理SaaS时，关键在于“解决方案不能比问题本身更糟”：管理员应先了解员工如何使用SaaS应用，再决定是否限制访问权限，而非简单粗暴地切断访问。

关键举措：SaaS治理

1. 投入资源部署能够持续发现影子IT的技术，且该技术需同时覆盖网页应用和本地部署软件，才能有效发挥作用。
2. 确保整个SaaS体系的合规性：识别需要安全防护的应用和工具，使其符合现代安全标准（如NIST、CIS、CISA等）和合规要求（如ISO、SOC、GDPR等）。
3. 识别所有访问方式，尽可能阻止非授权访问，并强制要求使用单点登录（SSO）。
4. 对于无法通过联邦身份认证接入SSO的应用，需管理并保障其认证安全。
5. 实现SaaS访问管理自动化，确保完整的生命周期管理（包括未接入SSO的应用）。
6. 详细记录供应商和员工在应用访问全生命周期中的权限情况，形成审计记录。

要保障SaaS生态系统的安全，首席信息安全官（CISO）必须采取全面视角。若缺乏执行政策的手段，仅发现影子IT是远远不够的；同样，通过SSO管理访问权限固然重要，但管理员也不能忽视未接入SSO的应用。

03. 下一个前沿领域：无密码认证

尽管多年来企业一直在努力加强企业边界安全防护，但泄露的身份凭证仍是攻击者最常用的入侵途径。我们的调查数据也印证了这一趋势：近半数安全领域负责人表示，安全性弱或已泄露的身份凭证是阻碍企业实现安全防护的首要因素。

这并非新问题，但如今的背景已发生变化。随着“身份”逐渐成为新的企业安全边界，身份认证体系正面临巨大压力。在许多企业中，身份认证已不再是次要问题，而是数字信任的基石。 ——威瑞森（Verizon），《数据泄露调查报告》，2025年

问题：哪些因素影响了您的团队为公司提供充分安全防护的能力？

• 员工使用安全性弱或已泄露的身份凭证：44%
• 员工使用未经授权的软件：41%
• 无法对个人或未受管控设备执行安全政策：40%
• 缺乏全面的设备安全能力：39%
• 难以跟进最新的补丁更新：38%
• 身份威胁检测与响应（ITDR）能力不足：无数据

数据来源：首席信息安全官（CISO），共638人

身份凭证风险持续存在

身份凭证管理现状依然堪忧。三分之二的员工承认存在不安全的操作行为，例如在工作账户和个人账户中重复使用密码、使用默认密码，或通过电子邮件、即时通讯工具分享密码。更令人担忧的是，负责防范身份凭证泄露风险的安全专业人士，其不安全操作行为的发生率竟高于非技术岗位同事。

这些行为已造成实际后果。在过去三年中遭遇重大数据泄露的首席信息安全官（CISO）中，50%将身份凭证泄露列为根本原因，仅次于漏洞利用（53%）。事实上，首席信息安全官（CISO）表示，“员工使用安全性弱或已泄露的身份凭证”是影响其实现充分安全防护的首要因素。

问题：在过去三年中，导致数据泄露或安全事件的主要因素有哪些？

• 漏洞利用：53%
• 身份凭证泄露：50%
• 数据泄露（数据外泄）：42%
• 使用未经管控/未授权的应用：38%
• 使用未经管控/未授权的设备：37%

数据来源：过去三年曾遭遇数据泄露的IT/安全领域专业人士，共884人

问题：在过去一年中，您在工作中使用的密码符合以下哪些描述？

数据来源：所有受访者，共5200人 *数据来源：《人工智能时代的安全与效率》，1Password，2024年

即便采用更严格的认证方式，密码威胁仍可能持续存在，因为员工的密码使用习惯实际上正变得更糟。我们的数据显示，66%的员工存在不良密码使用行为，较去年（61%）有所上升。此外，IT与安全领域专业人士的不良密码使用行为发生率往往高于其他同事。

“在一级方程式赛车（F1）领域，数据就是一切，因此我们在安全方面不能有任何妥协，但同时也不能使用会拖慢工作进度的工具。身份凭证和密钥管理是我们有望实现‘安全与效率双提升’的领域——通过减少团队直接处理身份凭证的工作量，就能达成这一目标。” ——马克·黑兹尔顿（Mark Hazelton），甲骨文红牛车队首席安全官（CSo）

企业领导层与员工纷纷采用密钥（Passkeys）

要完全淘汰基于密码的认证方式并不现实，但我们的调查发现，人们对在可行范围内用密钥（Passkeys）替代密码的接受度很高。

89%的安全与IT领域专业人士表示，他们的公司正在鼓励或计划鼓励员工将登录方式转为密钥（Passkeys）。与此同时，41%的员工已在支持密钥的场景中采用该方式；25%的员工表示尚未使用，但如果有选择，他们很乐意从密码切换到密钥。这种基于生物识别的身份凭证不仅能有效防范钓鱼攻击，且无需硬件密钥，也不会增加操作复杂度。

密钥之所以受到安全领域负责人的青睐，是因为它比密码安全性高得多，且符合多项监管与合规标准（如GDPR、HIPAA、CCPA等）——这些标准要求采用防钓鱼认证、数据最小化和加密措施。对员工而言，密钥的吸引力在于其直观易用，且能在多设备间无缝同步。

“我对人们对密钥的热情并不感到惊讶，因为推广密钥的企业让转换过程变得非常简单——只需点击一下就能完成。” ——布莱恩·莫里斯（Brian Morris），Gray Media公司首席信息安全官

如何推进无密码认证转型

向无密码认证转型并非“非此即彼”的选择。对大多数企业而言，这将是一场持续多年的变革，需要在技术、工作流程和监管框架层面谨慎规划实施顺序。在转型期间，密码仍将与新型认证方式并存。因此，企业必须同时采取两项措施：一是加强对当前仍在使用的身份凭证的安全防护，二是加快部署最终将取代密码的新型认证方式。

推动无密码认证不仅是安全防护的必然要求，也是应对更广泛趋势的举措。不受管控的设备日益增多、SaaS应用分散化、智能体人工智能兴起，这些趋势都指向一个未来：人类与机器身份将从多个终端（超出传统管控范围）访问敏感系统。

传统的认证模式已无法满足这一现实需求。无密码认证提供了更可靠的解决方案，能够在不影响用户体验的前提下，实现强有力的身份验证。 ——Omdia，《扩展访问管理（XAM）如何填补安全漏洞》，2025年

“实现真正的无密码环境一直是安全领域负责人的目标。然而，要完全淘汰密码需要多年努力，且在转型过程中的每一步，都必须确保认证方式的安全性达到最高标准。” ——Omdia

关键举措：无密码认证转型

1. 制定路线图与实施流程：用唯一密码替代弱密码，引入多因素认证（MFA），逐步过渡到无密码认证（包括密钥）。
2. 安排合规专员验证无密码认证的实施是否符合相关监管框架（如ISO、SOC2、GDPR等）。
3. 尽可能淘汰基于知识的认证方式（如短信验证码）。
4. 为员工提供清晰指导和持续支持，帮助他们过渡到强密码、多因素认证（MFA）和无密码解决方案。
5. 在仍需使用密码的场景中，强制要求使用企业级密码管理器，以确保身份凭证的安全存储与共享。

正如我们所强调的，“无密码”认证并非绝对概念，在可预见的未来，密码不太可能被完全淘汰。因此，无密码认证的目标应是在认证流程中尽可能减少密码的使用，从而最大限度降低原始身份凭证的暴露风险。

04. 终端安全防护覆盖设备不足，风险漏洞较多

如今的安全架构是为“员工在企业办公室使用公司配备设备、运行IT部门部署的应用”这一场景设计的。显然，这样的场景已不复存在；当我们审视终端安全与管理时，过去与现在的差距尤为明显。

为适应新的工作现实，安全与IT领域负责人应探索基于场景的访问管控方式，尤其是在设备管理方面。在此模式下，设备访问权限会根据设备状态（可能频繁变化）动态授予或撤销。这种模式不再依赖“受管控vs不受管控”这类僵化的二元分类，而是允许企业根据自身特定需求定制设备合规标准。

移动设备管理（MDM）工具是终端管理的基础组成部分，但它只是设备安全防护的一个环节，且存在根本性的功能局限。

移动设备管理（MDM）存在终端安全漏洞

不受管控的个人设备给网络安全带来了特殊风险，但安全专业人士也承认，“受管控”的设备同样可能存在漏洞。当被问及移动设备管理（MDM）在各方面对受管控设备的保护效果时，得到的答案不容乐观。

“我们的移动设备管理（MDM）解决方案无法提供实时设备健康检查和主动监控功能，这使得我们难以快速识别并解决漏洞或性能问题。” ——某市值数十亿美元的体育联盟首席信息安全官（CISO）

问题：移动设备管理（MDM）在以下方面对受管控设备的保护效果如何？

• 认为移动设备管理（MDM）无法为受管控设备提供全面保护的首席信息安全官（CISO）比例：75%
• 认为移动设备管理（MDM）无法确保设备完全合规的首席信息安全官（CISO）比例：64%
• 认为移动设备管理（MDM）无法确保设备完全安全的首席信息安全官（CISO）比例：61%

数据来源：1Password，《为何移动设备管理（MDM）无法满足设备安全需求》，2025年

大多数员工使用个人设备处理工作，常违反公司政策

近四分之三（73%）的员工每年至少使用一次个人设备处理工作。

• 56%的员工每周使用个人设备处理工作。
• 67%的IT与安全领域专业人士每周使用个人设备处理工作。

问题：在过去一年中，您曾使用以下哪些设备处理工作？

个人设备和自带设备（BYOD）比公司配备的设备更容易受到安全威胁。这些设备安装反恶意软件和更新软件的概率更低，且更可能存在未经授权的影子IT工具，以及敏感信息存储不当的问题。部分原因在于，这些设备往往未安装移动设备管理（MDM）和终端检测与响应（EDR）工具，无法满足基本的安全要求。在实施自带设备（BYOD）政策的企业中，约半数IT与安全领域专业人士表示，这些自带设备已接入安全工具。

仅指出半数用于工作的个人设备缺乏基本安全防护，就已足够令人担忧。但该数据尚未涵盖违反公司政策使用个人设备的员工情况。因此，用于处理工作任务的不受管控设备数量，无疑远高于50%。

事实上，21%的受访者表示，他们公司虽有禁止自带设备（BYOD）的政策，但并未实际执行。

个人设备带来的风险因员工使用方式而异。员工用手机查看Slack（即时通讯工具）或电子邮件并非完全没有风险——国家级威胁行为者已知会以电子邮件为攻击目标，因为邮件中包含大量敏感数据，且为身份冒充提供了可乘之机。

“要控制自带设备（BYOD）非常困难。例如，如果你使用Office 365，就很难阻止员工在个人设备上安装它。我们禁止员工将个人电脑用于工作，但如果你的移动设备管理（MDM）工具无法识别设备是否为公司所有，就很难阻止这种行为。” ——布莱恩·莫里斯（Brian Morris），Gray Media公司首席信息安全官

然而，与高级管理员使用不受管控的设备访问公司生产环境相比，上述情况的风险要小得多。确实，根据微软的报告，92%的勒索软件成功攻击都源自不受管控的设备。更令人担忧的是，许多使用个人设备的受访者表示，他们会在这些设备上从事高风险行为——一旦设备遭遇安全漏洞，这些行为可能导致敏感数据泄露。 ——微软，《数字防御报告》，2024年

问题：您曾在非公司提供的设备上执行过以下哪些工作任务？

数据来源：使用个人设备处理工作的员工与IT/安全领域专业人士，共4642人

数据显示，员工使用个人设备处理的工作远不止偶尔用手机查看工作邮件。实际上，员工会定期在个人设备上执行敏感工作任务。

问题：您为何会使用非公司提供的设备处理工作？

• 离开工作电脑时，公司允许并鼓励我使用个人设备处理与工作相关的任务：29%
• 个人和工作使用同一设备更方便：30%
• 公司设备无法满足我的工作需求：12%
• 公司未为远程办公（如居家办公等）提供设备：20%
• 我更喜欢自己的设备：34%
• 我的设备落在办公室了：21%
• 工作设备上限制访问我工作所需的某些网站：24%
• 工作设备上没有我工作所需的某些应用：23%
• 完成工作相关的安全验证（如用户名/密码、VPN等）很麻烦：17%

数据来源：使用个人设备处理工作的员工，共2915人

“员工使用个人设备的原因是它更方便；一旦觉得方便，他们就会用它处理所有事情，这会给任何存储杜克大学数据的设备带来风险。我们正努力构建一个能更清晰掌握这些设备情况的未来。” ——尼克·特里普（Nick Tripp），杜克大学首席信息安全官

如何确保所有终端用户设备的访问安全

如前所述，安全领域负责人与IT部门必须投入资源，部署能够补充移动设备管理（MDM）功能的解决方案。

近年来，勒索软件攻击、钓鱼攻击层出不穷，监管与合规标准不断更新；同时，远程和混合办公模式带来了新的安全与合规挑战，个人设备在企业环境中的使用日益增多。这些变化要求IT与安全团队加强对“不受管控”设备的监控，并为受管控设备提供更强大的安全防护。 ——1Password，《为何移动设备管理（MDM）无法满足设备安全需求》，2025年

关键举措：终端安全防护

1. 若允许使用个人设备，需确保所有设备符合合规要求。采用注重隐私保护的解决方案，提高员工对个人设备上安全工具的接受度。
2. 若禁止使用个人设备，需确保不受管控的设备无法访问企业数据。
3. 在所有情况下，都需验证只有安全、合规的设备才能访问企业资源。

任何设备安全策略要切实可行，都必须考虑员工的工作效率与使用便利性——正如之前所讨论的，这是员工规避公司政策的最常见原因。在条件允许的情况下，应让用户自行解决设备合规问题，而非强制他们提交IT工单。阻止不安全设备的用户访问只是“战斗的一半”，另一半则是帮助他们解决问题，恢复访问权限。

4. 引导用户自行解决合规问题。
5. 投入资源部署相关技术（如设备信任机制），能够基于实时设备状态检查动态阻止访问。建立跨平台的统一设备监控界面，实现对所有设备的集中管理。

研究方法

1Password委托PureSpectrum通过在线调查收集数据，调查对象为5200名18岁及以上、当前从事办公室工作的成年人。其中，北美地区（美国+加拿大）受访者1500人，英国受访者1000人，德国受访者1000人，法国受访者1000人，新加坡受访者700人。

在每个国家的样本中，均包含一定比例的IT安全领域专业人士：北美地区（美国+加拿大）500人，德国400人，法国400人，新加坡200人。样本中还包括一定比例的合同工、管理人员及首席信息安全官（CISO）。样本在性别、年龄和公司规模上保持均衡，且具有国际地域代表性。

©2025 AgileBits公司。保留所有权利。1PASSWORD、钥匙孔标志及其他商标均为AgileBits公司所有。