密码疲劳
本文约需 2 分钟阅读
密码疲劳 (Password Fatigue) 是指因日常生活和工作中需要管理的密码数量不断增加而产生的心理负担和倦怠感。根据 NordPass 2024 年的调查,普通互联网用户管理的账户数量已达 168 个,为每个账户分别设置并记住不同的强密码已超出人类认知能力的极限。这种疲劳感会诱发重复使用或简化密码等危险行为,从而提高了遭受撞库攻击等攻击的脆弱性。
账户数量的增长与认知极限
在 2000 年代初期,普通用户管理的在线账户仅有数个。然而,随着 SaaS 的爆发式普及、订阅服务的增加以及办公工具的多样化,账户数量逐年持续增长。据称,人类能够轻松记住的密码数量约为 3〜5 个,因此为 100 多个账户分别设置各自独立的强密码,在没有辅助工具的情况下是不可能的。
平均账户管理数量的变化趋势 (概算)
密码疲劳引发的危险行为
密码疲劳不仅仅是不便,还会直接导致具体的安全风险。疲劳的用户会在无意识中采取以下行为。
在多个服务中重复使用同一密码。一处泄露会波及所有账户。
为了便于记忆而设置如「password123」这样的弱密码。会被暴力破解攻击瞬间攻破。
将密码记录在便利贴或电子表格中。会产生被人偷看或文件泄露的风险。
密码重复使用带来的具体风险,在密码重复使用危险性的文章中有详细解说。
通过密码管理器化解
密码管理器是应对密码疲劳最实用的解决方案。只需记住一个主密码,就能为各个服务自动生成并自动填写各自独立的随机密码。用户得以从「记住密码」的认知负担中解放出来,兼顾安全性与便利性。有了密码管理器,即使是密码策略所要求的复杂条件也不再令人头疼。
通过通行密钥的根本性解决
通行密钥是一种使密码本身变得不再必要的技术,是密码疲劳的根本性解决方案。由于通过指纹认证或面部认证登录,完全无需记忆密码。因为不存在密码,所以重复使用、泄露和钓鱼在原理上都不会发生。截至 2025 年,支持的服务正在迅速扩展,从密码疲劳中彻底解放正逐渐成为现实。
化解密码疲劳的步骤
与安全疲劳的关系
密码疲劳是更广泛概念安全疲劳 (Security Fatigue) 的一部分。安全疲劳是指对各类安全措施的倦怠感,例如频繁的密码更改要求、多因素认证的繁琐以及安全警告过多等。 NIST (美国国家标准与技术研究院) 在 2017 年修订的指南中,将强制定期更改密码列为不推荐做法。这反映了一项研究结果,即安全疲劳反而会降低安全性。安全疲劳的文章中详细解说了组织层面的应对措施。密码安全相关书籍 (Amazon)也可作为参考。
现场使用案例
“在内部问卷调查中,78% 的员工回答说对密码管理感到压力。全公司引入密码管理器后,密码重置请求从每月 200 件骤减至 30 件,IT 服务台的负担也大幅减轻。”
关于密码的心理学层面,在密码心理学的文章中有详细解说。
这篇文章对您有帮助吗?