想象一個場景：

IT 運維小叉爲公司新人小A開通了 10 多個應用系統賬戶，企業微信、績效系統、CRM 系統、公司內網雲盤等等，「健忘症患者「小A爲了方便記憶，將各個系統密碼全部設置爲 「123456！」，並保存在瀏覽器中設置自動填充。十天後小A誤點了釣魚網站，公司系統的賬戶被盜，內部資料被竊取——小叉同學表示非常心累&崩潰。

不只是安全問題，更是效率「殺手」

現代企業的應用系統越來越多，如果員工在每個應用上設置不同的高強度密碼，在不允許瀏覽器自動填充的情況下，員工可能每天都奔波在「找回密碼」的路上，IT 運維同學也要花費大量時間處理密碼重置請求，假設 1人*1 個應用重置一次花費 2 分鐘，1000 個員工* 10 個應用，IT 部門工作效率將指數級下降。

如果員工由於記憶難而像小A一樣重複使用簡單的密碼，導致企業系統產生安全漏洞，又將是另一個死循環。在很多傳統的密碼管理策略中，一處密碼發生泄漏，企業很難確定與其關聯的員工/部門/子母公司是否有同樣的隱患，最終往往是進行大範圍的密碼重置操作，這樣就不可避免地打擊其他員工的工作積極性，影響整體工作效率。

「無密碼辦公」成爲大勢

爲了提升效率，近兩年來很多企業開始尋求基於身份認證技術打造「無密碼辦公」環境。相比於傳統的「以密碼爲中心」的解決方案，無密碼身份認證將安全技術與大數據、AI等新技術的相結合，根據員工登錄上下文（設備、時間等）判斷當前用戶是否可信，使員工可以無需輸入密碼，通過生物驗證或無需進行驗證即可登錄應用門戶，在確保系統安全的基礎上，提升用戶訪問體驗和工作效率，爲員工創造「無密碼」的辦公體驗。

無密碼辦公解決方案第一步是實現單點登錄，將企業所有應用——雲端的、本地部署的，標準的、企業自研的系統——集成在統一的單點登錄訪問門戶中，這樣員工記住一套門戶密碼便可免密快捷登入所有下游應用系統，對員工來說這是最明顯的效率收益。

如果員工覺得一套門戶密碼也容易忘，那麼企業可以進一步考慮提供多種登錄方式，比如流行的企業微信/釘釘掃碼登錄等，這需要企業根據自身需求集成其他「認證源」，將原有的釘釘/企業微信/微軟AD等認證源進行集中管理，在登錄頁面提供「其他登錄方式」選項。如下圖所示，員工登錄時可以靈活切換登錄方式：

圖：玉符IDaaS認證源集成

此外，實現個人密碼自助服務也十分必要，允許員工對密碼和密保問題進行自助修改，減少頻繁的密碼重置請求，將大大提升IT運維同學的工作效率。

到此爲止，企業實現「無密碼辦公」 看起來並不複雜，但在落地過程中有很多細節問題會消耗大量精力，尤其是在「判斷當前用戶身份是否可信」上——在異常設備、異常地點、異常網絡環境的訪問請求，顯然不能用平常的驗證方式，輸入一次密碼就直接放行，企業必須構建一套更靈活、安全的身份認證策略。

「無論是誰，拿鑰匙就能開門」顯然不夠安全，換「智能門鎖」是一個辦法——除了鑰匙，還需驗證指紋、人臉識別後才能開門。智能多因素認證（MFA）就是「智能門鎖」，它可以提供多種二次驗證方式，包括問題校驗，生物校驗，以及掃碼、OTP （一次性密碼認證）、推送通知等物理校驗方式。

這些校驗方式在不同場景下如何組合呢？

一方面企業可以手動設定一些規則，不同場景分別對應幾種二次驗證方式，比如訪問地點異常（異國訪問、異地登錄、異常位移）、訪問設備變化（異常設備登陸、基於設備的權限控制）、網絡環境變化（未知IP訪問、指定IP白名單範圍），針對公司敏感業務系統單獨設定二次認證喚起規則保證訪問安全。

另一方面，智能識別員工每一次登錄的安全級別，自動設置不同的策略，比如判定爲高安全性場景，則允許只使用密碼進行快速登錄；中低安全性場景要求密碼登錄+智能二次驗證，這種細化到員工個人的安全識別與監測也可以避免「一人泄露，全員重置」的情況，精準定位危險源，減少低效的大範圍密碼重置。

小結

無密碼辦公解決方案的優越性顯而易見，但落地過程中，複雜的應用系統和認證源集成、非標準協議的對接會導致企業的開發壓力驟增，IT部門往常可能會尋求傳統 IAM 廠商的支持，然而部署不夠靈活，無法適應快速迭代的應用系統更新，或者定製化週期比較長。實際上新興的 IDaaS（Identity as a service）平臺能夠提供更靈活、快捷的部署能力。

玉符IDaaS作爲企業級身份認證雲平臺開創者，可以在短時間內幫助企業快速集成統一單點登錄訪問門戶、集成多種認證源，並提供標準化的配置頁面實現高效的界面化管理，支持企業自定義認證策略組合。在密碼安全策略上也是如此——密碼強度、密碼輪轉、生效範圍、登錄安全（驗證方式、用戶鎖定規則和解鎖方式）、防暴力破解等策略性設置都可以在界面上輕鬆管理——可謂 IT 運維同學的提效神器。