La nostra organizzazione sta pianificando la scadenza annuale delle password per i nostri oltre 40.000 utenti questo autunno e stiamo socializzando questo cambiamento da un po 'di tempo. Tuttavia, essendo una così grande organizzazione, i nostri utenti sono costantemente bombardati da e-mail di phishing. La nostra regola pratica dice ai nostri utenti "Non fare clic sui link nelle e-mail che non ti aspettavi".
Tuttavia, ora che stiamo per scadere la scadenza della password, stiamo pianificando di inviare e-mail agli utenti le cui password scadranno presto sollecitandole a cambiare la loro password.
Le email:
- Sono ben marchiati e hanno un aspetto professionale
- Identifica personalmente l'utente con il suo nome utente e un numero di ID interno (anche se non completamente privato)
- Spiega chiaramente cosa sta succedendo e quali azioni intraprendere
- Contiene intestazioni appropriate che identificano il server di posta di invio proviene dalla nostra organizzazione per utenti esperti (ad esempio, non le stiamo inviando da fuori sede)
Tuttavia, per rendere la vita molto più facile agli utenti, abbiamo un paio di link nelle email:
- Un link alla nostra documentazione per la scadenza della password sul nostro sito web
- Un collegamento all'applicazione di reimpostazione della password effettiva
- Un collegamento all'applicazione di recupero password (per password perse)
C'è anche una mini-guida su come identificare siti affidabili controllando l'URL e il certificato SSL, e quando si è in dubbio di digitare l'indirizzo sulla nostra homepage stessa, quindi seguire i collegamenti.
La mia domanda è:
C'è una certa legittimità che possiamo aggiungere alla email di scadenza della password in modo che gli utenti possano fidarsi di questa email (cosa che probabilmente non si aspettavano) e cliccare sui link, o dovremmo abbandonare i link tutti insieme e solo dire agli utenti fare da soli la procedura invece di fare clic su un comodo pulsante nell'email?