Best practice per la verifica dell'identità di un utente per l'helpdesk

Naviga le tue risposte
7

Oggi ho avuto una conversazione e qualcuno mi ha sfidato perché dovresti verificare l'identità di un utente che chiama un service desk con qualcosa di diverso dall'email aziendale. Certo, so che questi possono essere falsificati, ma il dirigente di livello superiore no.

Ho premuto per avere almeno un PIN specifico per l'utente e l'indirizzo email degli utenti messo in atto a scopo di verifica ....

Qualcuno ha accesso alle best practice pubblicate per la verifica degli utenti di questo servizio non faccia a faccia (telefono, servizi di chat)?

Saluti

    
posta user2041774 27.07.2013 - 02:14
fonte

2 risposte

4

L'email aziendale è probabilmente un cattivo modo per verificare l'identità di qualcuno. Nella maggior parte dei luoghi, l'indirizzo e-mail è in un formato comune che potrebbe facilmente essere indovinato. L'ingegneria sociale e il pretexting sono semplici modi per ottenere informazioni comuni. Si dovrebbe anche considerare la minaccia interna, un collaboratore potrebbe impersonare facilmente qualcuno con un indirizzo email. (Suppongo che intenda fornire questo al telefono, non inviando loro un'e-mail da aprire durante una chiamata)

Se vuoi autenticare l'identità di un utente, devi usare qualcosa di non pubblico e difficile da indovinare. Alcune società potrebbero avere parole in codice specifiche, ecc. Potrebbero richiedere una richiamata a un numero noto come numero di lavoro, casa o cellulare del dipendente. Questo non dovrebbe essere il loro sistema o la tua password e-mail.

    
risposta data 27.07.2013 - 02:56
fonte
2

Ci sono due lati di questo. Il primo è verificare l'identità dell'utente e l'altro sta verificando la legittimità dell'help desk. Questo è un grosso problema perché le chiamate di social engineering saranno quasi sempre dirette all'helpdesk o essere impersonate da un membro dell'help desk.

Poiché gli utenti normali sono in genere meno sofisticati degli operatori dell'help desk, è necessario semplificare il processo di autenticazione dell'help desk. Ad esempio, una regola molto semplice è tutte le chiamate di aiuto devono essere effettuate da l'utente a l'help desk. se l'help desk ti chiama, quindi le loro istruzioni solo dovrebbero essere "richiamami al numero di telefono dell'help desk interno standard". In nessun caso dovresti fidarti di un rappresentante dell'help desk che ti ha chiamato. Questo è facile da ricordare per le persone e facile da implementare. Inoltre, ogni volta che chiama un utente e dice "richiamami" sarebbe una buona idea ricordargli perché dovrebbe farlo; solo una parola o così il concetto è fresco nella sua mente: help desk SEMPRE ti dice di richiamarli.

Quindi, l'autenticazione dell'utente con l'help desk dipende dal livello di sicurezza richiesto dalla società. Una "chiamata in PIN" o una password è un'idea ragionevole ma non eccezionale. Ancora meglio è una sorta di sistema interno a circuito chiuso che non può essere reso disponibile a qualcuno al di fuori dell'azienda.

Ancora meglio, è sufficiente stabilire la regola che tutte le operazioni sensibili devono essere eseguite di persona, direttamente dall'help desk o tramite il supporto desk-side, con controllo appropriato dei badge ecc.

    
risposta data 27.07.2013 - 08:39
fonte

Leggi altre domande sui tag

Quale sarebbe un buon modo per inviare informazioni sensibili agli utenti che non sono molto esperti di tecnologia? Il sito Wordpress reindirizza a un sito diverso quando si utilizza https. Sono stato hackerato?