Ilmuwan komputer menjalankan kampanye pembaruan kata sandi secara efisien dan dengan biaya TI minimal

Memperbarui kata sandi untuk semua pengguna sistem komputer internal perusahaan atau institusi menimbulkan stres dan mengganggu baik bagi pengguna maupun profesional TI. Banyak penelitian yang mengamati kesulitan pengguna dan praktik terbaik kata sandi. Namun sangat sedikit penelitian yang dilakukan untuk menentukan bagaimana kampanye pembaruan kata sandi dapat dilakukan dengan paling efisien dan dengan biaya TI minimal. Sampai sekarang.

Sebuah tim ilmuwan komputer di Universitas California San Diego bermitra dengan Layanan Teknologi Informasi kampus untuk menganalisis pesan perubahan kata sandi wajib di seluruh kampus yang berdampak pada hampir 10.000 anggota fakultas dan staf.

Tim menemukan bahwa pemberitahuan email untuk memperbarui kata sandi berpotensi memberikan hasil yang berkurang setelah tiga pesan. Mereka juga menemukan bahwa permintaan untuk memperbarui kata sandi saat pengguna mencoba masuk efektif bagi mereka yang mengabaikan pengingat email.

Para peneliti juga menemukan bahwa pengguna yang pekerjaannya tidak memerlukan banyak penggunaan komputer mengalami kesulitan paling besar dengan pembaruan ini. Temuan ini dipublikasikan sebagai bagian dari Konferensi Aplikasi Keamanan Komputer Tahunandimana tim mempresentasikan karyanya pada bulan Desember 2023.

Sepengetahuan tim, ini adalah pertama kalinya analisis empiris terhadap pembaruan kata sandi wajib dilakukan dalam skala besar dan di alam liar, bukan sebagai bagian dari simulasi atau eksperimen terkontrol.

Tim peneliti berharap pelajaran dari analisis mereka dapat bermanfaat bagi para profesional TI di institusi dan perusahaan lain.

Selama kampanye, hampir 10.000 dosen dan staf di UC San Diego menerima empat email setiap minggunya yang meminta mereka mengubah kata sandi sistem masuk tunggal (single sign-on password). Pengguna yang masih belum mengubah kata sandinya bahkan setelah menerima empat email kemudian mendapat perintah untuk melakukannya saat mereka masuk.

Email tersebut jelas efektif, menyebabkan antara 5% dan 15% pengguna memperbarui kata sandi mereka setiap kali menerima email. Namun, bahkan setelah empat kali konfirmasi email, seperempat pengguna belum menyelesaikan prosedur pembaruan.

Temuan ini bertentangan dengan penelitian sebelumnya yang menemukan 98% peserta mengubah kata sandi mereka setelah menerima beberapa pesan email. Namun penelitian itu memiliki ukuran sampel yang jauh lebih kecil.

Hebatnya, 80% dari sisa pengguna yang belum mengubah kata sandi mereka setelah kampanye email akhirnya melakukannya ketika mereka diminta untuk masuk.

“Satu-satunya tanda aktif yang mendorong adalah pemenang besar,” kata Ariana Mirian, penulis pertama makalah tersebut, yang memperoleh gelar Ph.D. di Departemen Ilmu dan Teknik Komputer UC San Diego. “Anda berhasil membuat orang-orang yang keras kepala—dan mungkin tidak menaruh perhatian—untuk mengambil tindakan, dan itu adalah hal yang luar biasa.”

Para peneliti juga mencatat bahwa meskipun terdapat kekhawatiran dari pihak kampus, kampanye tersebut tidak menghasilkan peningkatan yang signifikan dalam jumlah tiket ke meja bantuan TI. Volume tiket memang meningkat tiga hingga empat kali lipat, namun tiket yang terkait dengan pembaruan kata sandi hanya mewakili 8% dari seluruh permintaan.

Tidak mengherankan, pengguna yang mengalami kesulitan terbesar bekerja di area yang tidak mengharuskan mereka login ke komputer secara teratur, seperti layanan pemeliharaan, rekreasi, dan makan.

“Menargetkan pengguna tersebut lebih awal, atau mengabaikan pengingat email dan menggunakan penyadapan login sejak awal, atau bahkan menggunakan mekanisme notifikasi yang berbeda seperti pesan teks, mungkin lebih efektif,” tulis para peneliti.