该论文通过一项终端用户研究，探讨了可执行的安全与隐私建议的有效性。研究招募了参与者，测试了不同形式的建议（如具体步骤、可视化指南等）对用户实际行为的影响。结果表明，提供具体、可操作的步骤能显著提升用户遵循建议的意愿和能力，而过于技术化的语言或模糊的指导则效果不佳。研究还发现，用户更倾向于信任来自可信来源（如安全专家或朋友）的建议。论文贡献包括：一套评估建议可操作性的框架，以及针对设计更有效用户安全通知的设计指南。

该论文从文化产品（电影）中密码描绘的视角出发，系统分析了电影密码对观众密码行为与安全意识的潜在影响。研究团队选取了1990年至2023年间票房排名前250的电影，手动提取并编码出406个涉及密码的独立场景，建立了一个多维度标注的语料库。编码维度包括密码本身的长度、字符组成、是否包含个人信息、上下文（如是否在他人面前输入、是否被分享）、角色的人口统计学特征等。统计发现：电影中绝大多数密码由数字或简单字母构成，长度普遍较短（平均约6-8个字符），且很少包含特殊字符或大小写混合；密码使用者多为白种人、男性；密码常被口头分享或暴露在公共视线中。这些特征与安全专家推荐的复杂密码策略严重相悖。基于此，作者还开展了一组预注册的用户实验（N=400），让参与者对随机抽取的电影密码与真实世界密码进行安全性、可记忆性等方面的主观评判。结果显示，参与者普遍认为电影密码比真实密码更不安全，但两者在可记忆性上没有显著差异。论文进一步讨论了这种长期暴露于不安全密码描绘的环境是否会导致用户对脆弱密码的麻木或模仿，并提出了对安全意识教育、内容分级以及密码管理工具设计的启示。全文为学术研究性质，未涉及具体攻击方法或漏洞。

本文针对非洲地区移动支付服务（基于 USSD 技术）在视障用户使用中存在的无障碍性和安全性问题，提出了一种 Android 智能中间件解决方案。当前 USSD 系统仅依赖视觉交互，导致视障用户无法独立完成交易，甚至需要第三方协助输入 PIN，增加了欺诈风险和交易失败率（如超时）。现有辅助技术（如屏幕阅读器）与 USSD 不兼容。作者设计了一款中间件，通过 Android 无障碍服务自动执行 USSD 交易流程，集成基于硬件安全模块（Keystore）的生物特征（指纹）PIN 注入机制，并引入“黑屏模式”（Blackout Mode）——一种隐私保护的屏幕变暗技术，防止旁观者窥视。系统还利用设备端自然语言解析将 USSD 菜单转化为语音提示，实现全语音交互。实验表明，该方案将任务成功率从 65-75% 提升至 90% 以上，交易完成时间从 40-60 秒缩短至 12-15 秒，同时显著提高了用户对安全性的感知。研究贡献在于：1）设计了首个集生物特征认证与隐私保护于一体的 USSD 自动化框架；2）通过黑屏模式提升了交易过程中的视觉隐私；3）以低成本方式实现，无需修改现有 USSD 基础设施。适合移动支付服务商、无障碍技术研究员、金融包容性政策制定者阅读。

本研究聚焦于用户对端到端加密（E2EE）的心智模型常常存在误解，导致安全行为偏差。作者提出一种“工作流内消息”干预方法，即在用户执行加密操作（如发送加密消息或文件）的过程中，插入简短、情境化的解释性消息，旨在不打断用户任务的前提下，逐步构建其正确的E2EE概念模型。论文设计了三类消息（基本概念、威胁模型、操作反馈），通过在线实验（N=450）对比了仅提供消息、消息+交互式问答以及对照组的效果。结果显示，工作流内消息显著提升了用户对E2EE核心属性（如密钥独立性、加密范围）的理解，且交互式问答组在长期记忆保持上表现更优。研究贡献包括：提出了适用于即时通信工具的场景化教育框架，提供了实证证据支持工作流内干预的有效性，并为安全可用性设计提供了新思路。

访问控制是用户安全领域长期存在的挑战，核心难题在于如何让非专业用户轻松、准确地表达资源访问策略。本文提出了一种基于草图的多模态访问控制授权系统（Sketch-based Access Control, SBAC），将手绘草图的直观表达能力与多模态大语言模型（MLLM）的语义理解能力相结合，支持用户通过迭代细化的方式完成策略定义、分析与测试。作者通过一项包含14名参与者的形成性研究，提炼出三项设计需求：①允许用户以自然、非结构化的方式表达初始偏好；②提供可解释的中间反馈以帮助用户发现遗漏或不一致；③支持通过具体场景验证策略行为。基于这些需求，SBAC构建了人机协作三阶段工作流：Specify（指定）阶段，用户用草图、文字或语音混合描述策略意图，MLLM将其解析为结构化的访问控制规则；Analyze（分析）阶段，系统自动检测规则中的冲突、冗余或空窗，并通过对话引导用户澄清歧义；Test（测试）阶段，用户可输入模拟请求，系统展示策略判定结果，帮助验证是否符合预期。在另一次14名用户参与的评估中，参与者使用自身真实的访问控制场景（如家庭文件共享、团队文档权限）对系统进行测试。结果表明，SBAC帮助用户将最初模糊、不完整的偏好逐步转化为更完备、精确的策略——意外暴露了用户未预料到的权限缺口，通过自然语言对话解决了歧义，并通过具体案例验证了策略行为。该研究的核心贡献在于：①首次将草图界面引入访问控制领域，降低了策略编写的认知门槛；②提出了一种人机协同的策略精细化方法论，使非专家也能设计出意图一致的策略；③展示了多模态大模型在安全策略管理中作为“翻译器”的潜力。本文适合安全人机交互、策略管理及大语言模型应用方向的研究者和从业者阅读，尤其对构建更易用的访问控制工具具有启发意义。

本研究调查了可用隐私与安全研究领域的学者对透明度的看法、实践和建议。通过访谈和调查，作者发现尽管透明性被认为是良好科学实践的基础，但学者们在数据、代码和研究材料的公开方面存在分歧和障碍。研究提出了改进透明度的建议，包括设立更清晰的准则、提供资源支持以及培养开放科学文化。该工作有助于理解该领域共享实践的现状，并为提升研究可复现性和可信度提供指导。

该论文针对跨设备认证中的用户信任问题展开可用性研究。跨设备认证（如使用手机辅助笔记本登录）日益普及，但用户对底层信任机制（如设备绑定、证书传递）的认知往往不足。研究通过设计用户实验（包含不同场景的模拟任务），测量用户对认证过程中“信任锚点”（即安全依赖的根实体）的察觉程度、同意操作的清晰度以及对认证流程的控制感。实验招募了不同技术背景的参与者，收集了定量和定性数据。主要发现包括：大部分用户未能意识到跨设备认证中实际信任哪些实体（如第三方服务、本地网络）；用户往往盲目点击“同意”而忽略权限含义；当流程中断或出错时，用户缺乏有效的控制恢复手段。基于结果，论文提出了改进用户界面设计的指导原则，强调透明化信任链、提供可撤销的授权机制以及出错时的明确恢复路径。该工作属于安全与人机交互交叉领域，对设计更可用且安全的跨设备认证系统具有直接参考价值。

本研究通过采访13名在2018-2019年苏丹革命期间活跃的政治活动家，深入分析了他们在极端政治环境下使用的技术防御策略。研究发现，政治和社会因素对活动家的安全与隐私行为及应用选择起决定性作用。面对政府控制的电信网络、社交媒体封锁乃至完全断网，活动家采取了一系列低技术但有效的防御措施，如使用VPN、代理、加密通信工具等，以对抗监控、逮捕和设备扣押等威胁。尽管防御手段技术含量不高，但针对其对手已足够。研究还揭示了技术设计建议推广时面临的通用性与特定用户群体安全可用性需求之间的根本矛盾。例如，为活动家设计的反审查工具在操作便捷性和安全性上难以同时满足不同文化背景的用户。为此，研究者提出了一套结构化问题，旨在将这些矛盾转化为技术设计者和政策制定者的机遇，以设计更共情且实用的人机交互安全解决方案。该工作对理解国家安全与社会运动交叉领域的安全行为具有重要价值，为后续研究提供了实证基础。