更新公司或机构内部计算机系统的所有用户的密码对用户和 IT 专业人员来说都是有压力和破坏性的。许多研究都着眼于用户挣扎和密码最佳实践。但是,很少有研究来确定如何以最低的 IT 成本最有效地进行密码更新活动。直到现在。
加州大学圣地亚哥分校(University of California San Diego)的一组计算机科学家与校园的信息技术服务部门合作,分析了影响近10,000名教职员工的校园强制密码更改的消息。该团队发现,更新密码的电子邮件通知可能会在三条消息后产生递减的回报。他们还发现,当用户尝试登录时,提示更新密码对那些忽略电子邮件提醒的人是有效的。研究人员还发现,那些工作不需要太多计算机使用的用户在更新中挣扎得最多。
据该团队所知,这是第一次在如此大规模和野外对强制密码更新进行实证分析,而不是作为模拟或对照实验的一部分。
研究团队希望从他们的分析中吸取的经验教训将对其他机构和公司的IT专业人员有所帮助。
该团队在 2023 年 12 月的 ACSAC ’23:年度计算机安全应用会议上展示了他们的工作。
在活动期间,加州大学圣地亚哥分校的近 10,000 名教职员工大约每周收到四封电子邮件,提示他们更改单点登录密码。即使收到四封电子邮件后仍未更改密码的用户在登录时收到提示。
这些电子邮件显然是有效的,导致5%到15%的用户在每波电子邮件中更新他们的密码。然而,即使在四次这样的电子邮件提示之后,仍有四分之一的用户没有完成更新过程。
这一发现与之前的一项研究相矛盾,该研究发现98%的参与者在收到多封电子邮件后更改了密码。但该研究的样本量要小得多。
值得注意的是,在电子邮件活动后没有更改密码的剩余用户中,有 80% 的用户最终在登录时收到提示时更改了密码。
“主动单点登录提示是一个全面的大赢家,”该论文的第一作者阿丽亚娜·米里安(Ariana Mirian)说,她在加州大学圣地亚哥分校计算机科学与工程系获得了博士学位。“你设法让那些固执的人——也许没有注意——采取行动,这是巨大的。
研究人员还指出,尽管校园对此表示担忧,但该活动并未导致IT服务台的门票显着增加。工单量确实增加了三到四倍,但与密码更新相关的工单仅占所有请求的 8%。
毫不奇怪,最挣扎的用户在不需要定期登录计算机的领域工作,例如维护、娱乐和餐饮服务。
研究人员写道:“更早地针对这些用户,或者从一开始就放弃电子邮件提醒并使用登录拦截,甚至使用不同的通知机制(如短信)可能更有效。
该研究部分由美国国家科学基金会、加州大学圣地亚哥分校 CSE 博士后研究员计划、Irwin Mark 和 Joel Klein Jacobs 信息与计算机科学主席以及加州大学圣地亚哥分校网络系统中心的运营支持资助。
企业范围强制密码更新的实证分析
Ariana Mirian、Grant Ho、Stefan Savage 和 Geoffrey M. Voelker,加州大学圣地亚哥分校计算机科学与工程系
新闻旨在传播有益信息,英文版原文来自https://today.ucsd.edu/story/how-to-run-a-password-update-campaign-efficiently-and-with-minimal-it-costs