據(jù)報道，在重大數(shù)據(jù)泄露事故后，雅虎公司信息安全團(tuán)隊希望公司強(qiáng)制對所有電子郵件賬戶進(jìn)行密碼重置，但被管理層拒絕。那么，對于遭遇數(shù)據(jù)泄露的公司，應(yīng)強(qiáng)制執(zhí)行密碼重置嗎？這種做法有什么缺點(diǎn)？

Mike O. Villegas ：2016年12月，雅虎公司確認(rèn)其曾在2013年8月遭遇數(shù)據(jù)泄露事故，涉及超過10億雅虎用戶賬戶。此前在2016年9月，雅虎透露在2014年至少5億用戶賬戶被盜。被盜信息包括姓名、電子郵件地址、電話號碼、出生日期、密碼，以及加密或未加密的安全問題和答案。那些信息被泄露的用戶都收到通知要求更改密碼。

當(dāng)雅虎公司信息安全團(tuán)隊請求管理層對所有用戶賬戶強(qiáng)制執(zhí)行重新設(shè)置密碼時，雅虎的管理層拒絕了該請求，他們認(rèn)為強(qiáng)制重置密碼會讓雅虎電子郵件用戶流失而轉(zhuǎn)向其他服務(wù)。然而最終很多雅虎用戶都被迫更改密碼。

大多數(shù)網(wǎng)絡(luò)安全領(lǐng)域人士可能都會認(rèn)同：在數(shù)據(jù)泄漏事故發(fā)生后，至少應(yīng)強(qiáng)制執(zhí)行重置密碼以確保基本控制。雅虎和其他服務(wù)提供商支持兩步驗證和多因素身份驗證以確保用戶的正常訪問。

強(qiáng)制密碼重置的缺點(diǎn)是，為了確保安全的登錄，用戶需要設(shè)置更高強(qiáng)度的密碼，而很多用戶不太關(guān)心這個問題，推遲密碼更改。但企業(yè)還是應(yīng)該咬緊牙關(guān)執(zhí)行強(qiáng)制密碼重置。這樣才更安全，不會讓大多數(shù)用戶信息暴露在外。