研究顯示：『安全疲勞』可能削弱數位防禦體系

背景

紐約州立大學奧爾巴尼分校的一項最新研究指出，現代職場中日益繁重的網路安全要求，如頻繁更換密碼、軟體更新與防釣魚訓練，正導致員工產生「安全疲勞」。這種心理狀態會消耗個人的自我調節能力，使員工在面對安全規範時感到情感耗竭與疏離，進而為了維持工作效率而採取繞過安全機制的行為，反而削弱了組織的整體防禦。

社群觀點

在 Hacker News 的討論中，多數技術從業人員對這項研究結果深感共鳴，認為過度僵化的安全政策往往適得其反。許多留言者指出，強制性的定期更換密碼（如每 60 或 90 天一次）是安全疲勞的主因之一。雖然 NIST 早在多年前就已更新指引，建議除非有外洩跡象否則不應強制輪換，但許多政府機構與企業仍固守舊習。這種做法迫使人類大腦在難以記憶隨機字串的情況下，發展出可預測的模式，例如在舊密碼後方加上遞增數字。這不僅沒有提升安全性，反而讓攻擊者更容易推算新密碼，甚至導致員工將密碼寫在便利貼或未加密的文字檔中，形成更大的漏洞。

除了密碼問題，開發者們也對日益複雜的認證流程感到不滿。有留言者分享了極端的案例：從啟動電腦到進入開發用的虛擬機，必須經過磁碟加密、系統登入、VPN 撥接、網路存取權限以及虛擬機登入等多重關卡，每一層都需要不同的憑證。這種「自我阻斷服務」（Self-DoS）的現象，讓系統變得極難使用，其對生產力的破壞力有時不亞於外部攻擊。當安全措施與日常工作流程產生嚴重摩擦時，員工會開始尋求各種變通方法，例如使用可程式化鍵盤設定巨集來輸入複雜字串，或是預先申請所有可能的權限以避免流程延宕，這些行為本質上都是在對抗不合理的制度。

社群中也存在對於「合規性」與「真實安全性」脫節的批判。部分觀點認為，許多安全要求已演變成一種為了應付稽核的「忙碌工作」，而非真正降低風險。例如某些無效的程式碼掃描工具，雖然對安全性貢獻微乎其微，卻因為合規要求而必須執行。儘管有人辯稱即使是基礎的應用程式也可能包含敏感數據，因此嚴格管控有其必要，但多數討論者仍傾向認為，最理想的安全應該是「結構性安全」，即盡可能讓安全機制對終端用戶透明、不可見。如果安全團隊不考慮各項措施累積後的總體負擔，最終只會換來員工的敷衍與抵觸。

延伸閱讀

在討論中，參與者提到了 NIST（美國國家標準暨技術研究院）關於密碼管理指引的更新，建議組織應停止強制性的定期密碼輪換。此外，針對硬體認證工具，有留言者提到 Yubikey 的鍵盤模擬功能（Static Password mode）在處理複雜字串輸入時的應用，以及 VIA 軟體在自定義機械鍵盤巨集以應對頻繁輸入需求時的角色。