中小企業的工作方式已經徹底改變——攻擊者下手的方式也是如此。團隊分散各地,SaaS 工具處理從薪資發放到專案管理的一切事務,承包商與供應商也會定期進出各個系統。每多一個新工具或一位擁有存取權限的員工,潛在入口點的數量就會增加。
不斷擴大的攻擊面之所以重要,是因為以憑證為基礎的攻擊——包括網路釣魚、帳號接管和密碼竊取——已成為企業發生資料外洩最常見的途徑之一。這類攻擊之所以有效,正是因為存取範圍已經四處擴散,難以追蹤。如今,攻擊者只要找到一組有效憑證,就能繞過企業的防禦。
在這個背景下,有超過一半的小型企業現在使用 企業密碼管理程式,這應該令人感到振奮。但是 Proton 的 2026 年中小企業網路安全報告——一項針對 3,000 名中小企業決策者的全球研究——發現,去年仍有四分之一的企業經歷了資料外洩。
這一切都顯示,工具的導入方式與實際使用方式之間存在落差。
如今中小企業如何使用密碼管理程式
大多數密碼管理程式的設計,都專注做好一件事:幫你記住密碼。實際上,這代表建立複雜且獨特的密碼,並在已加密的保管庫中管理它們。這比在不同帳號和平台之間重複使用相同憑證的常見做法,確實好得多。
但既然密碼是攻擊者最容易利用的入口點,中小企業就需要密碼管理程式做的不只是解決記憶與便利性問題,還必須用它來保護存取。
存取其實是更廣泛的問題。對的人是否擁有對的憑證——而你是否知道這些憑證能開啟什麼,或一旦落入錯誤的人手中會發生什麼事? 隨著團隊擴大、訂閱增加、承包商不斷進出,組織的考量也必須從單純強化密碼,轉向因應真實世界的安全威脅。
這正是多數企業在出問題之前不會做出的改變。
密碼管理程式的導入常在哪裡出錯
我們報告中的關鍵洞察是:採用密碼管理程式的企業,並未持續且一致地使用它們。
不安全的憑證共享比例仍高得令人意外:
- 33% 會在共享文件或試算表中共享憑證
- 30% 會透過電子郵件共享憑證
- 27% 會透過通訊應用程式共享憑證
- 25% 會把憑證寫下來
- 24% 會口頭共享憑證
這反映出忙碌的人們會選擇當下最快的做法。他們不會切換到密碼管理程式應用程式,並在適當的保管庫中共享新的憑證,而是可能直接把它貼到 Slack 或電子郵件裡。
權宜作法單看似乎無害。但時間一久,憑證就會散落在收件匣、聊天紀錄和共享文件中,變得難以釐清。員工離職後,你之後也無法撤銷存取權。若密碼沒有儲存在集中且安全的位置,一旦發生資料外洩,要在第一時間更新密碼幾乎不可能。
透過訓練來落實安全政策確實有幫助,但我們的研究顯示,即使如此仍然不太夠…
為什麼安全意識培訓還不夠
我們的報告發現,39% 的中小企業曾經歷由人為錯誤造成的安全事件。這項統計數據很容易被誤解;最自然的反應,是以為員工越謹慎,事件就會越少。
但這種說法忽略了一個重要事實:凡是依賴人在日常壓力下仍能做到完美行為的安全系統,終究都會被現實擊垮。 人會犯錯,不是因為不在乎,而是因為安全的做法往往需要投入比一般中小企業所能負擔更多的時間與心力。即使出發點良好的團隊,在資源吃緊時也會尋找權宜作法。
長久的解方不是增加更多培訓。而是設計出讓安全選項同時也是最容易採用的系統。
當安全地共享存取權不比把密碼丟進聊天訊息更費力時,人們就會這麼做。
當存取問題失去控制時
隨著團隊擴大,憑證問題也會不斷惡化。
如今,86% 的中小企業仰賴雲端服務來支援日常營運。這通常意味著憑證散布在專案管理工具、財務平台、行銷軟體、檔案儲存空間和客戶系統之間,而且每個系統都有各自的權限與存取紀錄。
存取不只會分散在各個系統之間;它也會在整個組織內擴散,流向各團隊、外部合作夥伴、承包商,甚至那些可能仍保有進入途徑的前員工。
這意味著在現實中,憑證會不斷累積,舊有的存取權會持續殘留,而持有——或曾持有——你最敏感系統鑰匙的人數,也會多到難以輕鬆追蹤。
有工具,不等於受到保護
去年遭遇資料外洩的中小企業並不是在偷工減料:其中 92% 都積極投資於安全工具。他們已部署密碼管理程式、加密電子郵件、培訓計畫與書面政策。換句話說,從紙面上看,他們的設定似乎相當完善。
許多企業欠缺的是一致的落實。多重要素驗證(MFA)雖已啟用卻不是強制要求,密碼管理程式雖已部署,卻沒有真正融入日常習慣,而員工到職與離職流程也只是非正式地處理,而非系統化執行。考量到瀏覽器密碼管理程式的普及,我們懷疑許多企業甚至根本沒有使用集中式團隊平台,而是各自依賴拼湊而成、較不安全的替代方案。
這些每一項都是微小的缺口,在出事之前往往都看不見。
衡量安全設定的真正標準,不在於清單上列了哪些工具,而在於這些工具是否能在真實工作方式帶來的日常壓力下依然發揮作用。
以下是幾項做法,可幫助您的企業更接近這種理想狀態:
- 使用專為團隊打造的密碼管理程式。瀏覽器密碼管理程式不僅安全性較低,也缺乏管理員維持帳號完整控制權所需的管理工具。除非您使用的是容易上手的企業級密碼管理程式,否則根本不夠用。
- 盤點目前誰擁有哪些存取權限。檢查您最敏感工具的使用者清單,看看其中是否有任何讓您意外的名字。
- 以個別帳號取代共享登入。雖然在密碼管理程式中共享登入很方便,但這並非最佳做法:共享登入會降低帳號層級的可見性,使您更難識別資料外洩並迅速應對。
- 將多重要素驗證設為必要條件。MFA 是目前最有效的防護措施之一,但前提是必須預設強制執行,而不是只作為可選設定。
- 讓離任處理流程系統化。每當有人離開,不論是員工、承包商還是供應商,都應立即觸發存取審查,而不是事後才想起來。
想知道從我們對六大重點市場 3,000 位企業領導者所做調查中,您還能獲得哪些洞察嗎?歡迎閱讀我們的《2026 年 SMB 網路安全報告》。您將瞭解資料外洩的成因與實際代價、人為錯誤最常出現在哪些環節,以及雲端與 AI 的採用如何帶來新的盲點。報告也提供了在真實環境中依然有效、可實際強化防護的做法。
