密码以外的世界——提升数字化转型的安全性、效率和用户体验

试想，某天你在电脑上访问有关某收购项目的敏感财务信息，你不用回想几周前在某网站创建的密码究竟使用了哪些大小写、数字和特殊字符等。你也不用输入用户名和密码，相反，该网站会问你昨天在哪里吃的午饭，同时你的智能手表也可通过你的心率跳动进行验证。在这一过程中，不仅用户体验更佳，安全性也进一步提升。相较于使用密码体系来辨别是否为本人操作，使用个人特有信息更加可靠，也更加稳妥。

如今，数字化转型已成为企业战略的重中之重，而转型背后的核心设计理念则是用户体验。但是，无论是客户、商业伙伴、一线员工还是管理层，他们的用户体验通常都始于恼人的密码，而这同时也是最为薄弱的安全环节。事实上，企业四分之三的网络攻击事件都归因于密码强度过低或密码被盗， 各位读者应该都清楚，企业网络漏洞造成的技术、法律以及公关成本往往高达数百万美元，如果加上名誉受损、信用评级降低等无形损失，以及失去合同等其他成本，损失金额将大大增加。 减少密码的安全隐患将很大程度上降低企业的网络风险，并进一步提高用户的生产力、增加客户的好感，同时降低因员工忘记密码和密码被锁定而产生的日常系统管理费用。

对首席信息官以及疲于记忆更长密码的人来说，令人高兴的是，随着生物计量学、用户分析学、物联网应用等新技术的兴起，企业有机会设计一个基于双边互信、用户体验且系统安全性更强的全新范式。如成功付诸实施，将加速业务拓展，并从市场脱颖而出。

事实上，如果能不输入用户名和密码即可安全获取数字化信息，人们的工作和生活将迈向期盼以久的新台阶。密码缺乏可扩展性，无法提供符合用户预期的全面数字化体验。具体而言，密码无法扩展至当今的各类网络应用，无法满足用户期待的流畅用户体验。然而，备受困扰的用户难免会忽略这些建议 并重复使用相同密码，因此增加了系统的安全隐患。更重要的是，由于密码缺乏可扩展性，因此无法提供与交易价值相匹配的认证响应；换言之，强大的密码体系需要针对字符使用和密码长度制定繁复的政策，使得系统管理员无法评估特定密码强度。若无相关知识，企业可能难以作出明智的风险决策，以确定密码与其他认证因素的结合方式。

原文刊登于Deloitte Insights出版刊物Deloitte Review第19期，感谢德勤中国翻译组。