Come dire agli utenti che non dovrebbero rivelare la loro password al telefono al nostro help desk?

Assicurati che gli utenti possano reimpostare le proprie password e adottare un criterio in base al quale l'helpdesk avvierà una reimpostazione della password se gli viene rivelata una password.

Gli utenti tendono a telefonare quando non riescono ad accedere e, quindi, attivando lo stesso processo di reimpostazione della password in quanto possono essi stessi, si apprendono lentamente che non aiuta a telefonare.

Sfortunatamente alcuni utenti lo faranno sempre, ma potresti aggiungere un po 'di audio al messaggio introduttivo e tenere la musica, ribadendo che gli utenti non devono fornire le password al telefono.

In parole povere, non c'è modo di calpestarlo completamente. Esistono politiche e procedure che puoi implementare per ridurle, tuttavia:

• Invia messaggi di consapevolezza della sicurezza (standalone o piè di pagina ad altri messaggi) ripetendo che le password sono private e non dovrebbero mai essere divulgate a nessuno.
• Prepara il personale dell'helpdesk per eliminare i clienti prima che possano fornire la loro password.
• Implementare una politica in base alla quale se un cliente fornisce una password all'helpdesk, tale password deve essere immediatamente ripristinata.
• Assicurati che le sezioni self-service siano prominenti e ben pubblicizzate (per reimpostazioni / ripristini della password).

La maggior parte di questi ha un costo associato al servizio (disagio, di solito, e documenti aggiuntivi), che dovrebbero essere considerati prima dell'implementazione, ma questa è la direzione generale.

Penso che oltre alla reimpostazione immediata della password potrebbe essere opportuno ricordare agli utenti i termini di servizio ( termini di servizio di esempio ).

You are the sole authorized user of your account. You are responsible for maintaining the confidentiality of any password provided by You or Zimride for accessing the Service. You are solely and fully responsible for all activities that occur under Your password or account. Zimride has no control over the use of any User's account and expressly disclaims any liability derived therefrom. Should You suspect that any unauthorized party may be using Your password or account or You suspect any other breach of security, You will contact Us immediately.

Informa l'utente che ha violato i Termini di servizio divulgando la password e che sta reimpostando la password per rimetterli in conformità.

Dipende anche dal tipo di servizio che stai fornendo. Per me personalmente, se non attribuisco alcun valore monetario al mio account, probabilmente non mi interesserà molto ai termini del servizio. D'altra parte, se chiedo informazioni sul mio conto pensionistico ed è implicito che frequenti violazioni dei termini del servizio possono essere utilizzate come prova per assolvere la società dalla responsabilità finanziaria in caso di violazione della sicurezza, presterò sicuramente attenzione.

Ad esempio, alcuni hacker rubano i miei soldi usando una violazione della sicurezza non correlata, ma la società non vuole renderla valida, quindi usano le mie rivelazioni sulle password come prova della mia noncuranza.

Ho un processo semplice che ha insegnato agli utenti abbastanza rapidamente a non darci le loro password. Se un utente ti dice che la sua password fa la stessa cosa che faresti se tu sapessi che l'utente ha detto a qualcun altro la password, costringili a impostare una nuova password. Termina la chiamata / interazione e informa l'utente che per sicurezza è necessario reimpostare la propria password, per favore ricorda di non dire mai a nessuno (compresi il loro manager o personale IT) la loro password e se mai lo fanno per informare immediatamente l'IT in modo che tu possa resettarlo.

Potresti averlo chiesto su UIX.StackExchange - qui nessuno sembra porre la domanda "Perché ti stanno dicendo la loro password?". Penso che cercare di educare le persone con messaggi audio o avvertimenti non taglierà l'accordo. La maggior parte delle persone sa che non dovrebbero dire la propria password a nessuno senza una buona ragione.

Se così tante persone chiamano il tuo supporto per affermare "P4ssW0rd è la mia password, giusto?" Sembra che la tua interfaccia utente li lasci senza tracce se quella è davvero la loro password. Questo potrebbe avere diverse ragioni: se hai dei vecchi clienti potrebbe semplicemente essere, che dimenticano la loro password, ma le persone che sanno di non poter facilmente ricordare roba di solito la annotano.

Forse hanno problemi ad accedere e ottenere il solito messaggio "Hai inserito un nome utente o una password errati" - È naturale chiedere assistenza se il nome utente o la password inseriti sono sbagliati. Forse ricevono lo stesso messaggio se il loro account è bloccato? O forse ricevono la loro prima password via mail e non "sembrano" come una password. Oppure l'applicazione non rende abbastanza semplice sapere quale sia la tua password.

Dovresti chiedere agli utenti perché hanno bisogno di chiarire la loro password e probabilmente troverai un motivo in comunicazione con l'utente / nell'interfaccia utente che porta a così tante persone che sentono la necessità di chiarire la loro password via telefono.

Aggiornamento con una nuova proposta per una soluzione:

Che cosa succede se hai iniziato ogni conversazione chiedendo ad un cliente la risposta ad una frase che solo lui o lei dovrebbe sapere? Un'opzione simile è stata usata come misura extra per molto tempo in una società per la quale lavoravo, dove la sicurezza è relativamente alta, e ho la sensazione che possa aiutare a evitare problemi come il tuo.

Il modo in cui funziona è il seguente: quando un cliente chiama e dà il suo nome, cerca le sue informazioni, inclusa una domanda e un set di risposte in testo semplice. Chiedete immediatamente a loro di verificare la loro identità rispondendo alla domanda, che leggete loro.

Cosa otterrebbe? Due cose, vorrei spero : in primo luogo, dovrebbe migliorare la tua sicurezza, anche se solo marginalmente. Le informazioni possono essere archiviate in testo normale, con l'accesso di tutti quelli che lavorano all'help desk e probabilmente molte delle risposte potrebbero essere facilmente indovinate, soprattutto se un utente malintenzionato ha fatto una piccola ricerca prima di chiamarti. Anche così, questo dovrebbe ancora rendere un po 'più difficile impersonare uno dei tuoi clienti al telefono senza scatenare alcun sospetto.

In secondo luogo, e soprattutto per il tuo particolare problema, questo dovrebbe chiarire al chiamante che li hai effettivamente identificati e stanno guardando i loro dati dei clienti in questo momento. L'idea qui è che in realtà permetti al tuo cliente di essere utile . Dopotutto, probabilmente è il motivo per cui sono così desiderosi di darti le loro password, vero?

In sostanza, fornirai loro un modo semplice per identificarsi senza rivelare la parte più sensibile delle informazioni che è la loro password personale.

La mia risposta precedente:

Puoi e dovresti continuare a cercare di educare i tuoi utenti su problemi come questo, ma ci saranno sempre utenti che ignorano questo o che non lo prendono sul serio. Ogni volta che accade, assicurati di informare educatamente i tuoi utenti ancora una volta su di esso, e di dire loro che hai una politica che richiede loro di resettare la loro password ora che è stata rivelata .

Se questo è un problema ricorrente, potresti anche voler capire perché questo accade. Le persone del tuo help desk richiedono effettivamente l'accesso agli account dei clienti, anche se solo per un breve periodo di tempo per aiutarli? Forse puoi trovare qualche soluzione in cui l'accesso temporaneo è fornito con una password temporanea? Se questo include una soluzione pubblicizzata che rende semplice aiutare i tuoi utenti, mentre è ovvio per loro che puoi accedere a senza che devono fornire le loro password, forse non si sentiranno la necessità di "aiutarti" ad accedere ai loro account?

Ovviamente ciò richiederebbe la registrazione ogni volta che un dipendente accede a un account utente, preferibilmente con una breve descrizione del perché, e cosa è stato fatto, ecc., insieme a una severa politica riguardante la riservatezza e le linee guida su ciò che i dipendenti possono e non possono fare , ecc.

Volevo solo lanciarlo sopra le altre opzioni qui (che sono buone.)

Non sono sicuro del tipo di sistema telefonico che stai utilizzando, ma oltre a quelli suggeriti sopra, sarebbe possibile che un breve messaggio audio automatizzato venga riprodotto dall'utente che chiede di informarli di non condividere i loro password con eventuali rappresentanti di servizio e tutto il resto? Questo messaggio automatizzato può sia istruire gli utenti prima che arrivino ai rappresentanti, sia prevenire contro qualsiasi rappresentante malintenzionato che chiede password (non è sicuro quanta parte di un problema ci sia.)

Sto postando questo commento come risposta, perché penso che sia una buona risposta alla domanda

Personally, if someone is already unaware that they should not tell the helpdesk their password, then reactively resetting their password would most likely make them angry - even if it's good practice to ensure that only they know their password. If it's extremely sensitive information, it's a must. Otherwise, I think having some kind of a recording before a call is picked up might help - "Your call may be recorded for quality assurance purposes. Remember to never reveal your password to anyone - including the Help Desk."

- @Jake

Un altro proveniente dal campo a sinistra, cercando di fermare la perdita, piuttosto che pulire il pavimento.

Se la tua password contiene lettere e numeri, molto spesso abbiamo molti problemi con i font non monotype. '1' 'i' 'l' tutto sembra uguale '0' 'O' anche. Quindi forse usare un'immagine, o forzare il browser ad usare monotype, quando mostri il loro pass?

Oppure ottieni il tuo algoritmo di passaggio per non utilizzare nessuno dei precedenti.

Di solito è un sintomo di scarsa comunicazione, procedure, organizzazione, politiche e strategie dell'azienda verso il cliente.

Per alcuni dei miei account bancari, anche io non riesco a capire cosa sia la 'lettera' o 'email' tra il Pin, la frase di sicurezza, il numero di sicurezza, la password, l'ID cliente, il nome di login, il nome di login, l'email indirizzo, indirizzo email e un altro indirizzo email, che a volte sono diversi e talvolta no. (notare i duplicati!). Poi ci sono le due carte ID dei fattori e i codici per seguirlo ..

es. il mio ISP mi ha richiesto di inserire un indirizzo e-mail per creare un account per ottenere il loro servizio che forniva un indirizzo e-mail [vedi (1)], e quindi il mio ID ADSL telefonico era anche 'un indirizzo e-mail'. Quindi, con cui posso accedere - entrambi dipendono dalla pagina Web!

Non c'è da stupirsi se la gente è confusa e la sicurezza è compromessa da tutti quei cosiddetti "schemi" che potenziano la sicurezza.

Quindi cerco di aiutare i miei suoceri anziani (87 e 90) con difficoltà nell'udire l'ecc.

Riguarda la gestione del rischio e delle conseguenze (in realtà si tratta di pericoli, probabilità, ...).

Assicurati che il reparto comunicazioni migliori il formato e il layout di tali e-mail e che non possano essere confusi con altri elementi simili (ad esempio rimuovine uno, quindi NON ci sono elementi simili!)

Penso che sia meglio avere un messaggio automatico tramite IVR che gli dica esplicitamente che -

For security purposes please never provide your passwords to our Help desk Representatives ...

prima ancora che parlino con il tuo team di supporto.

Spero che aiuti! :)

Ti suggerisco di eseguire il backup e chiediti perché gli utenti lo stanno facendo in primo luogo. Ciò che mi viene in mente è che non possono accedere e stanno cercando di determinare se hanno dimenticato la loro password o qualcos'altro è sbagliato - l'account è bloccato, hanno il nome utente sbagliato, ecc.

Il tuo problema è che l'utente innocente che tenta di risolvere il suo problema di accesso è mescolato con tentativi maliziosi di ottenere l'accesso agli account da parte del personale addetto all'assistenza umano. Sfortunatamente, probabilmente non funzionerà per chiedere semplicemente al chiamante è un vero utente o un criminale.

Non ho alcuna risposta per te: qualsiasi informazione che il tuo staff è disposto a fornire o confermare è potenzialmente parte di un tentativo di accesso da parte di qualcuno che non dovrebbe farlo.

Le persone sono abituate a fidarsi delle persone che chiedono aiuto, altrimenti non le chiederebbero ... Medici, terapisti, riparazioni auto, elettrodomestici, ecc. Per esempio, ieri ho portato la mia auto al negozio per una riparazione. Sarebbe assurdo se dicessero: "NON in nessun caso dare il nostro personale (o qualsiasi altra persona) alla chiave della tua macchina!" Dentro la mia macchina c'erano i soliti documenti che mostrano il mio nome e indirizzo (carta di immatricolazione auto, documentazione assicurativa) e ho anche una chiave per il mio appartamento nascosta dentro l'auto (nel caso in cui mi blocchi in qualche modo, e c'è un chiave di scorta nel mio portafoglio). È possibile che le persone cattive lavorino nel negozio di auto, ma improbabile.

Ma in ogni caso, nessuno può "hackerare" nel mio appartamento o rubare la mia macchina senza essere realmente qui, quindi non devo preoccuparmi di fidarmi del 99,999% della popolazione mondiale. Se metto male la chiave della mia auto in Nuova Zelanda, non sarà un problema. Se qualcuno in Romania riceve una copia della chiave del mio appartamento, ancora nessun problema. Quindi, il punto è che il mondo elettronico è semplicemente diverso .

Penso che la soluzione sia renderla più simile al mondo reale: nessuno che vive fuori dalla mia città dovrebbe essere in grado di accedere al mio conto in remoto da remoto. Se ho comprato il gas a casa usando la mia carta di credito, e qualcuno cerca di usarlo a 2000 miglia di distanza un'ora dopo, dovrebbe fallire. (E lo ha fatto una volta. Bravo alla mia Credit Union per fare automaticamente ciò che era meglio per me senza che io lo chiedessi mai o dovessi pagare per quello!)

Non puoi spiegare alla gente o impedire ipotesi basate su un mondo di fiducia verificabile se il mondo che stai "vendendo" non ha tali benefici. Cambia il mondo che stai vendendo alle persone. Crea una password rubata inutile come la mia chiave della macchina in Nuova Zelanda. La tecnologia deve funzionare per persone , non il contrario. SE le cose che crei non sono sicure, lavora di più. Abbiamo migliorato drasticamente la sicurezza di aerei, automobili ed elettricità, non abbiamo solo detto, oh, beh, è necessaria più istruzione.

I work for a help desk, and we recently launched an online service where our members can log in.

È un peccato che un problema di design alzi la testa e tu, in prima linea, devi occupartene, quando dovrebbero essere gli architetti a dover rispondere al feedback fornito in questo QA.

Ho notato due cose (sottolineatura mia):

A problem we are having is that users who are calling us often ask us to confirm that the password handed in to them is correct. By doing so, they disclose their password over the phone. How can we prevent this?

e

Around 90% of our callers are first time callers. Since they're doing it the first time they call, it's difficult to educate them. They are pensioners, so they usually have less experience of authenticated services than the average computer user.

Il problema qui non è la progettazione del sistema di password, il problema è l'uso di password in primo luogo, da parte di un pubblico inadatto.

Se stavo progettando questo sistema, eviterei le password, o altrimenti, fornire un mezzo alternativo adatto di autenticazione per un pubblico meno tecnico. Le mie opzioni preferite includono:

• Password monouso da una chiave RSA o simile (utilizzata in un sistema di autenticazione a fattore singolo),
• Certificati lato client da una smartcard o smartcard virtuale (protetta con un PIN) o da un dongle USB sicuro
• "Picture Passwords" (una serie di clic / tocchi su una grande immagine), da una prospettiva infosec è la stessa di una password ed è plausibile che sia meno sicura se la sequenza di click-point è ovvia, ma rende più difficile dimenticare e non si presta facilmente per essere condiviso per telefono.
• Utilizzare le informazioni personali (informazioni personali) come password. Negli Stati Uniti, il proprio numero di sicurezza sociale spesso serve in questo luogo, dato che (in genere) tutti sanno che dovrebbe essere tenuto segreto, eppure le persone sembrano a posto con i siti web delle loro banche che chiedono di confermare la loro identità - forse un analogo meno critico potrebbe essere usato, ad esempio una data di nascita e il nome della via corrente, anche se questi sono difficilmente segreti, se il sistema utilizza ID utente numerici o assegnati casualmente (al contrario di indirizzi email o nomi utente gratuiti) questo sarebbe semplicemente sicuro come una password, a condizione che gli utenti non perdano i loro ID utente.

Il rischio qui sembra mentire di più sul lato dei tecnici dell'help desk che ricevono la password. Se non puoi fidarti di loro per non abusarne, allora hai un problema da risolvere.

Chiedere agli utenti di smettere di dare la propria password è questione di educarli. Questo dovrebbe accadere quando necessario.

Se un utente fornisce una password a un addetto all'help desk, dovrebbe essere presente una procedura per bloccare tale password e costringerla a crearne una nuova. Di nuovo, devi fidarti della persona dell'help desk per iniziare questo, ma è per questo che li avresti controllati prima di essere assunto.