web-dev-qa-db-ja.com

ヘルプデスクのユーザーIDを確認するためのベストプラクティス

今日私は会話をしました、そして、なぜあなたが会社の電子メール以外の何かでサービスデスクを呼ぶユーザーの身元を確認する必要があるのか​​について誰かが私に挑戦しました。確かに、私はこれらがなりすまされる可能性があることを知っていますが、上級管理職はそうではありませんでした。

確認のために、少なくともユーザー固有のPINとユーザーのメールアドレスを用意するように強く求めています。

サポートデスクの公開されたベストプラクティスに、この非対面(電話、チャットサービス)ユーザー検証でアクセスできる人はいますか?

7
user2041774

会社の電子メールは、おそらく誰かの身元を確認するための悪い方法です。ほとんどの場所で、電子メールアドレスは簡単に推測できる一般的な形式です。ソーシャルエンジニアリングとプリテキストは、一般的な情報を取得する簡単な方法です。インサイダーの脅威も考慮する必要があります。同僚がメールアドレスを簡単に偽装する可能性があります。 (私はあなたが電話でこれを提供することを意味していると思います、通話中に開くために彼らに電子メールを送るのではありません)

authenticateユーザーのIDを使用する場合は、非公開で推測しにくいものを使用する必要があります。会社によっては、特定のコードワードなどを持っている場合があります。従業員の勤務先、自宅、またはセル番号であることがわかっている番号へのコールバックが必要な場合があります。これは、システムまたは電子メールのパスワードではありません。

5
Eric G

これには2つの側面があります。 1つはユーザーのIDの確認であり、もう1つはヘルプデスクの正当性の確認です。ソーシャルエンジニアリングの呼び出しはほとんど常にヘルプデスクに向けられるか、ヘルプデスクメンバーになりすましているため、これはかなり大きな問題です。

通常のユーザーは通常、ヘルプデスクのオペレーターほど洗練されていないため、ヘルプデスクの認証プロセスを簡略化する必要があります。たとえば、非常に簡単なルールはすべてのヘルプ呼び出しはfromユーザーtoヘルプデスク。ヘルプデスクがあなたに電話をかける場合、そのonly指示は「コールバックしてください。標準の社内ヘルプデスクの電話番号で」電話をかけたヘルプデスク担当者を信頼すべきではありません。これは人々が覚えやすく、実装も簡単です。また、ユーザーに電話をかけて「折り返し電話する」と言ったときはいつでも、なぜそうする必要があるかを思い出させることをお勧めします。ただ一言、またはそのため、コンセプトは彼の心に新鮮です:ヘルプデスクは常に彼らに電話をかけるようにあなたに言います。

次に、ヘルプデスクでユーザーを認証するかどうかは、会社が必要とするセキュリティのレベルによって異なります。 「PINを呼び出す」またはパスワードは合理的ですが、すばらしいアイデアではありません。さらに良いのは、社外の誰かが利用できないようなある種の内部閉ループシステムです。

さらに重要なことは、すべての機密性の高い操作は、ヘルプデスク自体またはデスクサイドサポートを通じて、バッジなどを適切にチェックして、直接行う必要があるというルールを作成することです。

3
tylerl