有预测显示，到2026年，身份与访问管理（IAM）和特权访问管理（PAM）将迎来深刻变革。无密码认证将在特权环境中全面推广，硬件密钥、生物识别与自适应策略将取代传统凭证。

Leostream预测，受网络安全新态势、混合云模式以及人工智能等因素驱动，到2026年，身份与访问管理（IAM）和特权访问管理（PAM）领域将迎来重大改革。

无密码认证走进核心生产环境

预计到2026年，无密码认证将从特权环境中的孤立试点项目，转向企业全面采用。硬件密钥、通行密钥和生物识别验证将逐步替代传统凭证，减少对共享密码的依赖。这一转变将由合规性要求以及凭证滥用带来的高运营成本共同推动。

随着该领域的日趋成熟，特权访问工作流程将越来越依赖于自适应认证策略。这些策略能够实时验证身份和设备状态，提供灵活的无密码框架，并能与现有IAM和PAM系统无缝集成的供应商，将在市场上获得更大吸引力。这标志着终结密碼时代的承诺正成为现实，旨在消除特权滥用和账户接管中最常被利用的攻击路径之一。

人工智能助力会话安全

到2026年，人工智能将超越被动监控，通过主动介入特权会话成为保障IT资源安全的积极参与者。机器学习模型将基于行为基准进行分析，识别异常并发起警报，并在出现可疑模式时自动执行会话终止、屏蔽或加强认证等策略。

IAM/PAM解决方案将不再仅仅依赖人工审计员或预定义规则，而是利用生成式AI总结高风险会话活动、检测横向移动迹象，并实时提出补救措施。人工智能驱动的安全保障将使特权访问监督变得持续且具有上下文关联性，帮助企业比以往更快地检测内部威胁和被攻陷的账户，这也将推动行业向自主访问治理迈进。

基于浏览器且无需客户端的特权访问

在未来一年，基于浏览器的访问方式将在IAM/PAM实施中日渐增多。特权用户将通过加固的浏览器安全连接进行访问，这些浏览器集成了凭证注入、剪贴板控制和击键隔离等功能，无需依赖厚重的客户端或VPN。新的技术现状和劳动力现状将加速这一模式的普及，使特权访问能够从任何地点或设备安全进行，而无需安装代理。

无客户端架构将降低运营开销，简化第三方供应商的入职流程，并在企业寻求更快部署、更易扩展和改善用户体验的同时，消除常见的终端风险。

威胁驱动的紧迫性加剧

被攻陷的特权凭证仍将是导致数据泄露的最直接途径，而针对管理员账户的有针对性攻击、勒索软件活动以及供应链入侵事件的激增，将使IAM/PAM在2026年成为董事会层面的关注焦点。企业将加快对供应商特权访问工具的投资，以降低来自承包商、托管服务提供商和外部支持人员的风险。

在这一威胁态势下，供应商的PAM方案不仅是合规检查项，更成为具备可量化风险降低能力、审计能力、可追溯性以及区块链式问责制的核心韧性能力。

全面混合化

向云端迁移已非趋势，而是常态，但混合基础设施和资源的概念将进一步扩展，简化混合运营的工具也将随之发展。混合IT统一了云端和本地架构，而混合劳动力则分散在远程、现场及两者之间的各个地方。混合用户还包括员工及外部人员，如供应商，以及非人类机器身份（服务账户、机器人、容器、应用程序接口）。混合工作空间提供了一个协作生态系统，可根据需要访问数据、应用程序以及我们的同事。

组织将越来越需要能够应对全面混合化挑战的解决方案，以适应这种日益增加的复杂性，并从各个角度应对安全风险。

“从今年到明年，我们正见证着企业在IAM/PAM领域的需求如何演变，以及哪些工具和技术正在推动这些变化，”Leostream的CEO Karen Gondoly表示，“与此同时，日益严峻的网络安全威胁正迫使企业更加关注如何管理用户访问所带来的风险。”