我工作過的地方採用了一種非常簡單的方法。

他們會定期通過密碼黑客攻擊和網絡釣魚電子郵件對最終用戶進行隨機測試。

任何失敗的人都必須再次參加在線安全課程。

那是非常痛苦的事情，不需要採取實際的紀律處分。必須重修課程足以使他們更加小心。

如果您可以引入這樣的政策，它將奏效，尤其是對於老年人。我知道，我是一個。

它運作良好的原因是它使人們煩惱，但不足以進行抗議。如果他們生氣，答案很簡單。 “發生了安全漏洞，您正在接受訓練，沒有紀律處分”。

目標是糾正行為，而不是懲罰。

這通常是通過強制用戶設置密碼複雜性而無需對此事進行對話。

您不想這樣做，這表明您的安全性很低。如果有能力減輕IT負擔，IT不應怪罪於用戶。

我建議，如果您真的非常重視安全性，那麼在這種情況下，您可以使用常規方法來獲得安全。

示範可能是最有效的技術。嘗試建議他們針對該失竊密碼數據庫測試密碼： https://haveibeenpwned.com/Passwords

他們還可以檢查其電子郵件地址，以查看是否被盜。也是： https://haveibeenpwned.com/

在該數據庫中具有密碼意味著很容易破解。電子郵件地址和密碼都被盜意味著，使用它們的任何帳戶極有可能遭到破壞。

這是一個需要自上而下的指令。

您處於非常的困境中，試圖執行一項政策，

我遇到了這個問題，而我發現最成功的是採用一種策略，該策略可以使高層管理人員參與進來，並且不僅要壓低策略，還要製定策略。解決方案中的員工部分（如 Smokey The Bear所說，“只有您可以防止森林大火”）

您已經將參數放入了一個簡潔的“變調”管理：

• 公司風險和聲譽
• 現有的傳入威脅
• 公司的法律風險和責任

您只需將其出售給管理層，即可採用您熟悉的安全策略

關於解決用戶問題，請考慮以下幾點：

• “答案”（又稱“政策”）應來自其直接經理/主管。

• 此政策無須現場/證明其合理性。

• 應該創建一個常見問題解答，您可以輕鬆地將其引用給他們，以解決他們與安全性問題相關的問題/疑慮；做出額外的努力以突出特定的問題/答案，以及為什麼“老方法”已過時。但不限於：

  • 生物識別認證
  • 憑證自動化
  • 兩因素認證

在我的大部分IT生涯中，我都說過安全性是一種方法論，而不是產品。如果人們不買賬（特別是從高層），您將不會成功。因此....

如果您的老闆要求您這樣做，則需要與您的老闆進行對話，以推銷願景/政策/方法。沒有這些，您就不會成功。

[...]我們目前正在建立一個新的IT基礎架構[...]

非常好。我想說，這是在您的身份驗證週期中包含多因素身份驗證層的完美時刻。

這樣您可以保留密碼策略在合理的人工限制內（如果您使它們切換得太頻繁，或者使密碼太長或太複雜，以至於增加後期使用率以及支持支持的次數），同時仍將帳戶風險降至最低。 / p>

使用公司密碼管理器。這提供了使用戶生活更輕鬆的功能，並且鼓勵使用符合策略的密碼，並且允許經理/ IT人員報告合規性。

大多數密碼管理器都有一個“記分卡”，用於檢查重用或弱密碼。這可以用來顯示合規性以及不使用強密碼的教練人員。

可以並且應該為用戶提供方便或改進。他們擺脫了記住這麼多強密碼的負擔，他們只需要記住一個強密碼短語並擁有兩要素代碼或設備。

還有其他好處，例如：

• 如果用戶離開公司，則能夠找到舊的或廢棄的帳戶來鎖定
• 可以通過禁用密碼管理器訪問權限來快速縮減，然後使用密碼管理器鎖定/刪除其舊帳戶。
• 預定義密碼生成策略，默認情況下適合公司複雜性策略
• 該工具現在可以在現代的SSO和MFA選項以及較舊的舊選項中都可以使用 now 。它是對現代化工作的補充。

不幸的是，有很多人會繼續使用相同的簡單密碼，並且只要認真認真就可以使他們意識到更改密碼的重要性。從上下文來看，執行嚴格的新密碼規則幾乎會讓您的員工改變。動機聽起來並不孤單。但是，您可以嘗試通過以下幾種方法來簡化它們來創建更安全的密碼：

• 在某些公司中，員工有義務每X個月為自己提供新密碼。創建新密碼時，您的系統可以採用一種方法來判斷密碼的複雜性，以查看新密碼是否足夠好。他們的密碼可能僅從“密碼”更改為“密碼1”，但這可能是一個開始。
• 建議進行多重身份驗證。例如，用戶必須使用密碼登錄，然後將代碼發送給手機以完成該過程。可能有些大材小用，但是如果您堅決不讓員工更改基於文本的密碼的方式，那麼這些方法可以使您的環境更加安全。
• 舉辦員工研討會，強調其重要性安全性，不僅包括密碼，還包括確保數據安全的其他方式。這些還提供了一個機會，可以解釋數據保護法律（不僅僅是公司政策）堅持要求員工在保護數據安全方面更加謹慎。這也可能會阻止用戶寫下密碼！

對於您如何回應說“我多年來使用相同的密碼...” 的用戶，有兩種方法可以解決。當我之前工作的公司經歷了一次大的擴張（吸收競爭對手）時，由於另一家公司的工作性質，我們採用了新的安全程序。有些人使用了與您可能遇到的類似的藉口。我的回答是“說實話，我們要么很幸運，要么根本就沒有被壞人視為理想的目標。” 當然，當擴張的消息傳開時上市後，“入侵”的企圖數量顯著增加。向您的用戶強調，隨著公司的擴張，您想要實施的新規則是不可避免的。為他們提供一個寬限期，其中不符合要求的密碼將在接下來的幾個月內進行更新。

當然，您每天都可以進行類比。我的身體很好，但是在前往某些地方之前，我仍然會接種疫苗！我的房屋從未被破壞或燒毀，但我們仍然有房屋保險。

升級到您的老闆不應該是立即採取的策略。我知道您說您不想強迫用戶進行這些更改，但是有一些方法可以簡單地阻止用戶登錄，直到他們更新了密碼。如果所有其他方法均無效，則您可以自行為無心照顧的員工分配一個新密碼。不僅僅是您/他們的工作。如有必要，請行使權威。

如何激勵團隊成員

我該如何以其他方式激勵他們，然後強迫他們保持他們的“密碼精神”，而不僅僅是在保持自己的時間上留意問題嗎？

您在這方面激勵員工的方式與在任何政策或程序方面激勵員工的方式相同。

1. 定義。明確定義並記錄密碼合規性政策，並與其他公司政策和程序一起分發和社交化。自然，您將需要高層的支持才能做到這一點。

2. 衡量。建立一個系統，定期檢查密碼的符合性，並為團隊（而非個人）提供總體評分。如果這種審核是由無私的一方（可能在您的直接組織之外）進行的，則可能在政治上有所幫助。

3. 控制。獲得管理以將團隊密碼合規性作為衡量績效評估和/或薪酬的指標。例如，如果少於20％的用戶使用了錯誤的密碼，則該團隊將獲得獎勵。

ol>

這樣，您可以避免責怪任何人，避免承擔責任，並做到這一點

如何最好地回應諸如“我已經使用此密碼多年並且從未遇到任何麻煩！”之類的短語。 ？

密碼是否足夠好的問題不是任何人的決定，而是政策問題。因此，請參見上文。

我是否應該將拒絕者上報給我的老闆（誰負責管理密碼規則和安全性）？

當然可以，結構化的方式。見上文。

我應該威脅否認我可以將其升級為老闆嗎？

不，永遠不要威脅。威脅是個人承擔的。見上文。

即使使用舊系統，技術也可以提供幫助

較差的舊版安全性不是組織所獨有的問題。我可以想到至少有兩種方法可以幫助解決問題。

1. 通過為用戶提供企業SSO系統來幫助用戶

   企業SSO系統可以為您所有的舊系統生成隨機密碼，並為您的個人員工記住這些密碼。當他們需要登錄時，他們會提供SSO密碼（或可能使用Active Directory憑據登錄到您的網絡）；然後，SSO系統訪問其密碼數據庫，並在舊版應用程序中填寫密碼字段。可以使這種解決方案與幾乎所有基於Web的舊式身份驗證系統一起使用。

   令人高興的是，這對於您的團隊而言並不是額外的工作；

   SSO密碼本身當然可以接受您想要的任何密碼規則，因為它是現代系統。

2. 將舊系統放在現代網關後面

   您的舊系統可能已經在防火牆，路由器，代理或其他網絡設備之後。其中許多可以編程為需要自己的密碼，您可以在此處使用現代密碼規則。在他們進行身份驗證之前，他們甚至無法拉出舊系統的登錄頁面。他們進行身份驗證後，便可以使用其廢話密碼訪問舊系統。此時，密碼的安全性並不重要，因為它受到第二個因素的保護。

ol>

使用SSO，以便用戶只需為公司的所有內容創建/記住 1個安全密碼。

當您要求用戶創建多個密碼並經常更改它們時，他們會變得很懶惰並選擇較差的密碼。

單點登錄應在您不想被黑的所有系統上使用。您可以在單點登錄身份驗證系統上強制設置密碼複雜性。單一登錄的實施可能會很昂貴且會花費大量時間，但是如果您的公司重視安全性，那麼這應該是您的當務之急，不要讓用戶感到羞恥。

此外，請確保密碼的有效期很長（至少一年）或根本不過期（請參見 https://www.ftc.gov/news-events/blogs/techftc/2016/03/time-rethink-mandatory-password-changes）

在激勵個人之前，您必須詢問組織和領導層是否有動機解決此問題。您說您的老闆要求您這樣做。你知道這對他很重要嗎？在IT之外的管理又如何呢？

在小型公司或部門中，人們常常認為許多系統的安全性並不重要，因為除了少數使用它的人以外，這些信息對其他任何人都沒有什麼價值。在這種情況下，包括領導層在內的人們對安全程序幾乎沒有動力，這會使他們的工作變得更加困難。

安全人員現在對我很生氣，指出所有原因都是一個問題。他們是正確的，但是沒有抓住重點。這是一個動機問題，而不是技術問題。

如果您的領導認為這不是問題，那麼您必須說服他們，然後再嘗試其他人。

說服領導之後，其他所有人都需要一個更強密碼的理由，以便他們可以在頭腦中看到。入侵公司客戶數據庫的黑客可能對他們很牽強。您有監管機構可以審核您嗎？關於允許客戶檢查您的設施的客戶合同呢？您有員工請假去競爭嗎？找到一個人們可以想像的事例。

第二步是使人們容易做正確的事。與您的供應商一起努力以進行密碼驗證。在工作站上安裝密碼工具，這樣人們就不必記住密碼了。研究單點登錄系統，使人們不需要那麼多密碼。您還能做些什麼來使人們更輕鬆？

動機是關於標記人們想要做某事，而不是試圖使他們去做。

我該如何最好地回答“我已經使用此密碼多年，沒有遇到任何麻煩！”之類的短語？他們離開家，所以需要一把鑰匙才能打開嗎？如果他們只是關閉而不鎖住門鎖，很可能很長時間沒有人會去檢查門是否已解鎖。然後有人會。他們會說“我好多年沒有鎖門了，從來沒有遇到任何麻煩！”直到那天？對他們來說，有多長時間沒人檢查他們的門是否被打開，這會很重要嗎？ ”心態（或公開聲明該鏈接，而不是隱含暗示該鏈接）。這樣的心態是不現實的（根據我的經驗，我在這一領域見過的最可怕的隨和，如意算盤，弱智，粗心的人是十幾歲的人和20多歲的人，我也打賭您的經驗），並進行推理空洞的刻板印象將對您的信譽造成負面影響，並使他們不太可能認真對待您的擔憂（即使您不公開談論他們的年齡，他們也會認為您這樣做的原因）。

所有這一切都基於您只能說服同事的假設。如果相反，管理人員在這方面是您的最佳選擇，那麼實施一些程序以實際實施對密碼的維護將是最好的，但是由於您的公司遇到了您所描述的問題，我認為經理不在乎（而且他們甚至可能使用同樣糟糕的密碼） ）。但是要小心，因為這個密碼問題很可能是房間裡的大象，而您將成為“強迫”經理停止假裝大像不在那的人，這可能不會為您贏得很多積分。另外，如果發生違規行為，經理們將想採取一種出乎意料的方式行事，所以不要總是指出應該做到這一點。

我們是開發人員，提供高安全性的物理訪問控制解決方案，我幾乎無法激發我的同事表現得像這樣高安全性公司的員工（這很荒謬）。在房間裡擺出一頭大象，經理想假裝他們看不見），什麼也別提，甚至不讓任何人理解那就是你的感受。