Aggiornamento con una nuova proposta per una soluzione:
Che cosa succede se hai iniziato ogni conversazione chiedendo ad un cliente la risposta ad una frase che solo lui o lei dovrebbe sapere? Un'opzione simile è stata usata come misura extra per molto tempo in una società per la quale lavoravo, dove la sicurezza è relativamente alta, e ho la sensazione che possa aiutare a evitare problemi come il tuo.
Il modo in cui funziona è il seguente: quando un cliente chiama e dà il suo nome, cerca le sue informazioni, inclusa una domanda e un set di risposte in testo semplice. Chiedete immediatamente a loro di verificare la loro identità rispondendo alla domanda, che leggete loro.
Cosa otterrebbe?
Due cose, vorrei spero : in primo luogo, dovrebbe migliorare la tua sicurezza, anche se solo marginalmente. Le informazioni possono essere archiviate in testo normale, con l'accesso di tutti quelli che lavorano all'help desk e probabilmente molte delle risposte potrebbero essere facilmente indovinate, soprattutto se un utente malintenzionato ha fatto una piccola ricerca prima di chiamarti. Anche così, questo dovrebbe ancora rendere un po 'più difficile impersonare uno dei tuoi clienti al telefono senza scatenare alcun sospetto.
In secondo luogo, e soprattutto per il tuo particolare problema, questo dovrebbe chiarire al chiamante che li hai effettivamente identificati e stanno guardando i loro dati dei clienti in questo momento. L'idea qui è che in realtà permetti al tuo cliente di essere utile . Dopotutto, probabilmente è il motivo per cui sono così desiderosi di darti le loro password, vero?
In sostanza, fornirai loro un modo semplice per identificarsi senza rivelare la parte più sensibile delle informazioni che è la loro password personale.
La mia risposta precedente:
Puoi e dovresti continuare a cercare di educare i tuoi utenti su problemi come questo, ma ci saranno sempre utenti che ignorano questo o che non lo prendono sul serio. Ogni volta che accade, assicurati di informare educatamente i tuoi utenti ancora una volta su di esso, e di dire loro che hai una politica che richiede loro di resettare la loro password ora che è stata rivelata .
Se questo è un problema ricorrente, potresti anche voler capire perché questo accade. Le persone del tuo help desk richiedono effettivamente l'accesso agli account dei clienti, anche se solo per un breve periodo di tempo per aiutarli? Forse puoi trovare qualche soluzione in cui l'accesso temporaneo è fornito con una password temporanea? Se questo include una soluzione pubblicizzata che rende semplice aiutare i tuoi utenti, mentre è ovvio per loro che puoi accedere a senza che devono fornire le loro password, forse non si sentiranno la necessità di "aiutarti" ad accedere ai loro account?
Ovviamente ciò richiederebbe la registrazione ogni volta che un dipendente accede a un account utente, preferibilmente con una breve descrizione del perché, e cosa è stato fatto, ecc., insieme a una severa politica riguardante la riservatezza e le linee guida su ciò che i dipendenti possono e non possono fare , ecc.