Há tanta coisa que você pode fazer com o treinamento, especialmente quando não há consequências (percebidas) por não seguir as regras.
Nós, no campo da segurança, precisamos aceitar o fato de que as pessoas têm coisas melhores a fazer com seu tempo do que seguir nossas regras bobas, a maioria das quais elas não entendem e qualquer consequência para o usuário é tão demorada ( horas, semanas, meses) que a maioria nunca aprenderá. É pura psicologia e precisamos seriamente dar uma pista do que os últimos 60 anos de marketing / rotação / manipulação nos ensinaram sobre o cérebro humano.
Sua melhor opção é manipular seu caminho para o sucesso. Seja o que for que você esteja tentando fazer com que seus usuários façam, faça da maneira mais segura a maneira mais fácil / rápida / barata. Os usuários ignoram os conselhos de segurança porque podem salvá-los por 2 segundos, portanto, recompense o bom comportamento da maneira que você puder.
Exemplo: muitos anos atrás, eu estava em uma organização que sofria de usuários escolhendo as mesmas senhas em vários sistemas e esses sistemas aceitavam o acesso por telnet de qualquer lugar. Isso foi explorado por invasores em mais de uma ocasião.
Matar o telnet e acessar o ssh com a autenticação de chave resolveu o problema de segurança e eliminou a necessidade de os usuários digitarem nome de usuário e senhas em todas as conexões remotas. Não ter que digitar sua senha para cada nova conexão fez com que fosse bom que eles tivessem que desbloquear sua chave ssh com uma senha todas as manhãs.