L'année dernière, une équipe de chercheurs de CyLab a exploré les comportements de partage de compte des couples romantiques et a découvert que certaines de leurs pratiques pouvaient compromettre la sécurité. En s'appuyant sur cette étude, l'équipe souhaitait explorer les comportements de partage de compte d'un autre sous-ensemble de personnes :les employés au sein d'une entreprise ou d'une organisation.

Facebook, Google, et les comptes de messagerie d'entreprise ne sont que quelques-uns des nombreux comptes que les gens partagent sur le lieu de travail pour diverses raisons, les chercheurs ont trouvé dans leur nouvelle étude. Les comptes de réseaux sociaux sont partagés pour permettre à plusieurs personnes de gérer l'image en ligne de leur entreprise, et les comptes de messagerie d'entreprise sont généralement partagés pour maintenir une identité unifiée lorsque vous répondez à des personnes extérieures à leur équipe.

"La notion de compte unique, un utilisateur n'a plus vraiment de sens, " dit Jason Hong de CyLab, professeur au Human-Computer Interaction Institute (HCII) et auteur correspondant de l'étude. "Nous devons commencer à repenser la façon de concevoir ce genre de comptes."

Une telle réflexion est nécessaire, Hong dit, car comment ces comptes sont actuellement partagés peut entraîner des incidents.

Leur étude, "Normal et facile :pratiques de partage de compte sur le lieu de travail, " a été présenté lors de la conférence ACM de la semaine dernière sur le travail coopératif assisté par ordinateur et l'informatique sociale.

Dans l'étude, les chercheurs ont interrogé 98 participants d'un ensemble diversifié de lieux de travail à travers les États-Unis sur leurs pratiques de partage de compte. Ils ont constaté que les répondants partageaient les informations d'identification pour une moyenne de 11 comptes avec leurs collègues.

"En fait, nous les écrivons et les collons sur un tableau à côté des ordinateurs sur lesquels ils sont utilisés, " a écrit un participant au sondage qui travaillait dans le secteur manufacturier.

Les méthodes spécifiques utilisées par les participants pour partager les mots de passe couvraient un large éventail. Certains les ont partagés directement en disant aux autres verbalement ou par voie électronique (par exemple, texte ou e-mail), et certaines informations d'identification partagées dans un emplacement commun, par exemple, en les écrivant sur un tableau dans un espace partagé. Certains utilisaient un gestionnaire de mots de passe auquel les employés avaient accès.

Dans un cas, les employés ont utilisé une barrière physique – un coffre-fort – pour protéger les informations d'identification du compte numérique.
"Nous avons en fait un livre qui contient toutes les informations de connexion/mot de passe partagés. Nous verrouillons le livre dans un fichier et devons le verrouiller lorsqu'il a fini d'être utilisé, " a écrit un participant qui travaillait dans l'éducation.

Dans la plupart des cas, les personnes ont partagé des comptes pour centraliser la collaboration sur une tâche ou un projet, mais cette méthode de collaboration entraîne certains défis en matière de responsabilisation et de sensibilisation.

"Vous ne pouvez pas dire qui a fait quoi si tout le monde utilise le même nom d'utilisateur et le même mot de passe, " dit Hong. "Parfois, il peut y avoir un message important pour ce compte, mais seule la personne qui s'est connectée après l'envoi du message a vu le message. Personne d'autre ne le verrait."

Pourquoi les gens partageraient-ils un seul compte Dropbox ou Google Drive, même si ces plates-formes permettent à plusieurs utilisateurs de collaborer ? Hong dit que ces personnes préfèrent ne pas passer du temps à configurer et à mémoriser les informations d'identification pour un nouveau compte, compte tenu du nombre d'autres informations d'identification de compte qu'ils gèrent quotidiennement.

Les autres problèmes partagés par les répondants étaient des cas tels que le fait d'être expulsé de force d'un compte lorsqu'une autre personne s'est connectée, ou ayant des problèmes avec l'authentification à deux facteurs, puisque le deuxième facteur – l'appareil de quelqu'un – appartient vraisemblablement à une seule personne. Certains répondants ont partagé des expériences de verrouillage d'un compte après que quelqu'un d'autre ait tapé trop de fois le mauvais mot de passe.

Hong pense que beaucoup, sinon tout, de ces défis peuvent être relevés avec quelques modifications de conception.

"Les entreprises qui proposent ces comptes doivent autoriser plusieurs e-mails sur ce compte, " dit Hong. " Ces comptes devraient également permettre un accès simultané afin que lorsqu'un utilisateur se connecte au compte, un autre n'est pas lancé."

Les auteurs suggèrent également que les comptes devraient autoriser plusieurs profils à l'intérieur d'eux, imitant le modèle de compte de Netflix.

"Vous auriez toujours le même nom d'utilisateur et mot de passe, mais maintenant tu peux dire, 'C'est Jason qui fait le travail, ' ou quelqu'un d'autre, " Hong dit, « Cela vous permettrait de gérer l'aspect reddition de comptes et de savoir qui a fait quoi.

Les autres auteurs de l'étude comprenaient le chercheur invité de la CMU, Yunpeng Song, de l'université Xi'an Jiaotong, Xi'an Jiaotong professeur Zhongmin Cai, Doctorat HCII étudiante Cori Faklaris, et la professeure HCII Laura Dabbish.