電話でパスワードをヘルプデスクに開示するべきではないことをユーザーに伝える方法は？

ユーザーが自分のパスワードをリセットする方法があることを確認し、パスワードが明らかになった場合にヘルプデスクがパスワードのリセットを開始するポリシーを作成します。

ユーザーはログインできないときに電話をかける傾向があります。そのため、同じパスワードリセットプロセスをトリガーできるため、電話をかけることが役に立たないことをゆっくりと学習します。

残念ながら、一部のユーザーは常にこれを行いますが、導入メッセージに音声を追加して音楽を保留し、ユーザーが電話でパスワードを提供しないことを繰り返します。

簡単に言えば、これを完全に踏みにじる方法はありません。ただし、それを減らすために導入できるポリシーと手順があります。

• Security Awarenessメッセージ（スタンドアロン、または他のメッセージへのフッター）を送信して、パスワードは非公開であり、誰にも教えてはならないことを繰り返します。
• ヘルプデスクスタッフをトレーニングして、パスワードを提供する前に顧客を遮断します。
• 顧客がヘルプデスクにパスワードを提供した場合、そのパスワードをすぐにリセットする必要があるというポリシーを実装します。
• セルフサービスセクションが目立ち、よく宣伝されていることを確認します（パスワードのリセット/回復用）。

これらのほとんどには、サービスに関連するコスト（通常、不便、追加の事務処理）が伴いますが、実装前に検討する必要がありますが、それが一般的な方向性です。

すぐにパスワードをリセットするだけでなく、ユーザーに利用規約を通知することも適切だと思います（ サンプル利用規約 ）。

あなたはあなたのアカウントの唯一の承認されたユーザーです。 あなたは、サービスにアクセスするためにあなたまたはZimrideによって提供されたパスワードの機密性を維持する責任があります。あなたは、あなたのパスワードまたはアカウントの下で発生するすべての活動に対して単独で完全に責任があります。 Zimrideは、ユーザーのアカウントの使用を制御することはできず、そこから派生するいかなる責任も明確に否認します。無許可の第三者がパスワードまたはアカウントを使用している疑いがある場合、またはその他のセキュリティ違反が疑われる場合は、直ちに当社に連絡します。

パスワードを開示することで利用規約に違反したこと、およびパスワードをリセットしてコンプライアンスに戻すことをユーザーに伝えます。

また、提供するサービスの種類によっても異なります。個人的には、自分の口座に金銭的価値を付けなければ、利用規約はあまり気にしません。一方、私が退職金口座について質問していて、利用規約への頻繁な違反が、セキュリティ違反の場合に会社を金銭的責任から免除する証拠として使用される可能性があることを暗示する場合、私は間違いなく注意を払います。

たとえば、一部のハッカーは無関係なセキュリティ違反を使用して私のお金を盗みますが、会社は不正をしたくはないので、私のパスワード開示を私の不注意の証拠として使用します。

私は、ユーザーにパスワードを教えないようにかなり早く教えてくれる単純なプロセスを持っています。ユーザーが自分のパスワードを教えてくれた場合、そのユーザーが他の人にパスワードを教えたことを知っていた場合と同じように、新しいパスワードを設定するように強制します。通話/やり取りを終了し、セキュリティを確保するためにパスワードをリセットする必要があることをユーザーに通知します。誰にも（マネージャーやITスタッフを含む）パスワードを絶対に教えないでください。リセットしてください。

あなたはUIX.StackExchangeでこれを尋ねたかもしれません-ここで誰も「なぜ彼らはあなたにパスワードを教えているのですか？」という質問をするようには見えません。音声メッセージや警告を使って人々を教育しようとしても、契約が成立するわけではないと思います。ほとんどの人は、正当な理由なしに誰にも自分のパスワードを教えてはならないことを知っています。

「P4ssW0rdは私のパスワードでしょ？」それが本当に彼らのパスワードであるなら、あなたのユーザーインターフェースはそれらを無知のままにしているようです。これには複数の理由が考えられます。古いクライアントを使用している場合、単にパスワードを忘れている可能性がありますが、簡単に覚えていないことを知っている人は通常、パスワードを書き留めます。

ログインに問題があり、通常の「間違ったユーザー名またはパスワードを入力しました」というメッセージが表示される-入力したユーザー名またはパスワードが間違っているかどうかをサポートに問い合わせることは当然です。アカウントがロックされていると、同じメッセージが表示される可能性がありますか？または、最初のパスワードをメールで受け取り、パスワードのように見えない場合もあります。または、アプリケーションでは、パスワードが何であるかを知るのに十分なほど単純ではありません。

パスワードを明確にする必要がある理由をユーザーに尋ねる必要があります。ユーザーとのやり取りやユーザーインターフェースで、電話でパスワードを明確にする必要性を感じている多くの人につながる理由が見つかるでしょう。

ソリューションの新しい提案で更新：

顧客だけが知っているはずのパスフレーズの答えを顧客に尋ねることによって各会話を開始した場合はどうでしょうか。セキュリティが比較的高い私が働いていた会社で、長い間同様のオプションが追加の手段として使用されてきましたが、あなたのような問題を回避するのに役立つかもしれないという思いがあります。

これが機能する方法は次のとおりです。顧客が電話して名前を付けると、プレーンテキストの質問と回答のセットを含む顧客の情報を検索します。今すぐあなたが彼らに読んだ質問に答えることによって彼らの身元を確認するように彼らにすぐに頼んでください。

これにより何が達成されますか？
2つのこと、私は希望：最初に、それは、ほんのわずかであっても、セキュリティを向上させるはずです。情報はプレーンテキストで保存される場合があり、ヘルプデスクで働く全員がアクセスできるため、特に攻撃者が電話をかける前に少し調査を行った場合、答えの多くが簡単に推測される可能性があります。たとえそうであっても、疑いを引き起こさずに電話で顧客の1人になりすますのは少し難しくなるはずです。

次に、特定の問題についてさらに重要なことですが、これにより、発信者には実際にそれらを識別し、現在顧客データを調べていることが明確になります。ここでの考え方は、あなたが実際に顧客に役立つことを許可することです。つまり、結局のところ、おそらくなぜ彼らはあなたに自分のパスワードを与えたいと思っているのでしょう？

つまり、個人のパスワードであるより機密性の高い情報を開示せずに、簡単に自分を識別する方法を提供します。

私の以前の答え：

このような問題についてユーザーを教育し続けることはできますが、そうすべきですが、これを知らない、または真剣に受け止めないユーザーは常に存在します。その場合は、必ずユーザーにもう一度丁寧に通知し、ポリシーが公開されていることを確認した上で、パスワードのリセットを要求するポリシーがあることを伝えてください。

これが繰り返し発生する問題である場合は、これが発生する理由を調査することもできます。ヘルプデスクにいる人は、実際に顧客のアカウントへのアクセスを必要としていますか？多分あなたは一時的なアクセスが一時的なパスワードで与えられるいくつかの解決策を見つけることができますか？これにアドバタイズされたソリューションが含まれている場合、ユーザーを支援するのが簡単になりますが、アクセスを取得できることも明らかですせずにユーザーが提供する必要はありませんあなたへのパスワード、それからおそらく彼らはあなたが彼らのアカウントにアクセスするのを「助ける」必要性を感じないでしょう？

明らかに、これには、従業員がユーザーアカウントにアクセスするたびに、できれば理由と何が行われたかなどの簡単な説明とともに、機密保持に関する厳格なポリシーと従業員ができることとできないことに関するガイドラインなどを記録することが必要になります。

この質問に対する非常に良い回答だと思うので、このコメントを回答として投稿しています

個人的には、誰かがヘルプデスクに自分のパスワードを教えてはいけないことに気付いていない場合は、パスワードを事後的にリセットすると、彼らだけが怒っている可能性が高くなります。非常に機密性の高い情報である場合は、必須です。それ以外の場合は、電話に出る前に何らかの録音をしておくと役立つと思います。「通話は品質保証のために録音される場合があります。ヘルプデスクを含め、誰にもパスワードを教えないでください。」

- @ Jake

私はこれを他のオプションの上に追加したかっただけです（これは良いことです）。

使用している電話システムの種類はわかりませんが、上記の方法に加えて、ユーザーにパスワードを共有しないように通知する短い自動音声メッセージがユーザーに再生される可能性がありますサービス担当者とそのすべて？この自動化されたメッセージは、担当者に連絡する前にユーザーを教育するだけでなく、悪意のある担当者がパスワードを要求するのを防ぐこともできます（どの程度の問題があるかは不明です）。

もう1つは左のフィールドから来て、床を拭くのではなく、漏れを止めようとします。

パスワードに文字and数字が含まれている場合、非モノタイプフォントで多くの問題が発生することがよくあります。 「1」「i」「l」はすべて同じ「0」「O」にも見えます。パスを表示するときに、画像を使用するか、ブラウザにモノタイプを使用するように強制しますか？

または、上記のいずれも使用しないようにパスアルゴリズムを取得します。

通常、それは会社が顧客に向けたコミュニケーション、手順、組織、方針、および戦略の不十分さの兆候です。

一部の銀行口座では、PIN、セキュリティフレーズ、セキュリティ番号、パスワード、お客様ID、ログイン名、ログイン名、メールアドレス、メールの間の「手紙」または「メール」が何についてかわからない場合でもアドレスと別のメールアドレス。これらはすべて異なる場合とそうでない場合があります。 （重複に注意してください！）次に、2つのファクターIDカードとそれに続くコードがあります。

例えば。私のISPは、メールアドレスを提供するサービスを利用するためのアカウントを作成するためにメールアドレスを入力するように要求しました（（1）を参照）。そして、私の電話のADSL IDも「メールアドレス」でした。どちらを使用してログインすればよいですか-どちらもWebページによって異なります！

人々が混乱し、セキュリティがセキュリティを強化していると思われるすべての「スキーム」によってセキュリティが侵害されるのも不思議ではありません。

次に、義理の老人（87歳と90歳）の補聴器障害などを手伝ってみます。

リスクと結果の管理についてです（実際には、危険、確率などです）。

通信部門がこれらの電子メールの形式とレイアウトを改善し、他の同様のサウンド項目と混同しないようにしてください（つまり、1つ削除して、同様のサウンド項目がないことを確認してください！）

IVRを介して、次のことを明確に伝える自動メッセージを作成するのが最善だと思います。

セキュリティ上の理由から、パスワードをヘルプデスク担当者に決して提供しないでください...

彼らがあなたのサポートチームと話す前に。

お役に立てば幸いです。 :)

人々は彼らが助けを求めることを人々に信頼することに慣れています、さもなければ彼らは彼らに頼まないでしょう...医者、セラピスト、自動車修理、電化製品サービスなど。例えば、昨日私は修理のために車を店に持ち込みました。彼らが「どんな状況でも私たちのスタッフ（または他の人）にあなたの車の鍵を与えないでください！」と言ったらばかげたことでしょう。私の車の中には、私の名前と住所を示す通常の文書（車の登録用紙、保険の書類）がありました。また、車の中に隠れている私のアパートの鍵も持っています（私が何らかの理由でロックアウトした場合に備えて、私の財布の中のスペアカーのキー）。カーショップで悪い人が働くのは可能ですが、そうではありません。

しかし、いずれにしても、実際にここにいなければ、誰も私のアパートに「侵入」したり、車を盗んだりすることはできないため、世界の人々の99.9999％を信頼することを心配する必要はありません。車のキーをニュージーランドに置き忘れても問題ありません。ルーマニアの誰かが私のアパートの鍵のコピーを受け取ったとしても、それでも問題ありません。したがって、ポイントは、電子の世界がまったく異なることです。

解決策は、現実の世界のようにすることだと思います。私の故郷の外に住んでいる人が私の銀行口座にリモートでアクセスできるようにするべきではありません。私がクレジットカードを使用して自宅でガソリンを購入し、誰かが1時間後に2000マイル離れた場所でガソリンを使用しようとした場合、それは失敗するはずです。 （そして、それは一度行われました。私に尋ねたり、支払いをしたりすることなく、私にとって最善のことを自動的に行った私の信用組合へのブラボー！）

あなたが「売っている」世界にそのような利点がない場合、検証可能な信頼の世界に基づいて人々に説明したり、仮定を妨げたりすることはできません。あなたが人々に売っている世界を変えてください。私の車のキーがニュージーランドにあるのと同じくらい役に立たないパスワードを作成します。 テクノロジーはpeopleのために機能する必要があり、その逆ではありません。作成したものが安全でない場合は、さらに努力してください。飛行機、自動車、電気の安全性を劇的に向上させました。ああ、まあ、もっと教育が必要だとは言いませんでした。

バックアップをとり、ユーザーがそもそもなぜこれを行っているのか自問することをお勧めします。私に発生するのは、彼らがログインできず、パスワードを忘れたか、何かが間違っているかどうかを判断しようとしていることです-アカウントがブロックされている、ユーザー名が間違っているなど。

あなたの問題は、彼のアクセス問題を修正しようとしている無実のユーザーが、サポートスタッフによる人間工学によるアカウントへのアクセスを取得しようとする悪意のある試みと混在していることです。残念ながら、発信者に実際のユーザーまたは犯罪者であることを尋ねるだけでは機能しません。

答えはありません。スタッフが提供または確認する意思のある情報は、アクセスできない人がアクセスしようとする試みの一部である可能性があります。

私はヘルプデスクで働いています。最近、メンバーがログインできるオンラインサービスを開始しました。

設計の問題が頭を後ろに振るうのは残念であり、あなたは、最前線で、それを持っているはずの建築家であるはずのときにそれに対処しなければなりませんこのQAで提供されたフィードバックに回答する。

私は2つのことに注意します（私の強調）：

私たちが抱えている問題は、私たちに電話をかけているユーザーが、彼らに渡されたパスワードが正しいことを確認するように私たちにしばしば尋ねることです。そうすることで、彼らは電話で自分のパスワードを開示します。どうすればこれを防ぐことができますか？

そして：

発信者の約90％が初めての発信者です。彼らが初めて電話をかけるので、彼らを教育するのは難しい。 彼らは年金受給者ですなので、通常、認証されたサービスの経験は平均的なコンピューターユーザーよりも少なくなります。

ここでの問題はパスワードシステムの設計ではありません。問題は、不適切な対象者によるそもそものパスワードの使用です。

このシステムを設計している場合は、パスワードを回避するか、そうでない場合は、技術的でないオーディエンスに適切な代替認証方法を提供します。私の優先オプションは次のとおりです。

• RSAキーなどからのワンタイムパスワード（単一要素認証システムで使用）
• スマートカードまたは仮想スマートカード（PINで保護されている）または安全なUSBドングルからのクライアント側の証明書
• 「Picture Passwords」（大きな画像での一連のクリック/タップ）、infosecの観点からは、これはパスワードと同じであり、クリックポイントシーケンスが明らかである場合は安全性が低いと考えられますが、忘れるのが難しく、電話で共有するのは簡単ではありません。
• PII（個人を特定できる情報）をパスワードとして使用します。米国では、（一般的に）誰もが秘密にすべきことを知っているので、社会保障番号がこの場所でよく機能しますが、銀行のウェブサイトで身元の確認を求めても大丈夫なようです。生年月日や現在のストリート名などを使用できますが、システムが数値またはランダムに割り当てられたユーザーID（電子メールアドレスやフリーテキストのユーザー名ではなく）を使用している場合、これらはほとんど秘密ではありませんが、これは次のように安全です。ユーザーがユーザーIDを漏らさない限り、パスワード。