Question:
Comment dire aux utilisateurs qu'ils ne doivent pas divulguer leur mot de passe par téléphone à notre service d'assistance?
Terry
2016-01-11 18:13:37 UTC
view on stackexchange narkive permalink

Je travaille pour un service d'assistance, et nous avons récemment lancé un service en ligne où nos membres peuvent se connecter.

Un problème que nous rencontrons est que les utilisateurs qui nous appellent nous demandent souvent de confirmer que le le mot de passe qui leur a été remis est correct. Ce faisant, ils divulguent leur mot de passe par téléphone. Comment pouvons-nous éviter cela?

Il est mentionné dans l'e-mail d'inscription qu'ils ne doivent pas divulguer leur mot de passe, et nous le mentionnons chaque fois que nous pensons qu'ils vont nous le divulguer.

À propos des utilisateurs: environ 90% de nos appelants sont des nouveaux appelants. Puisqu'ils le font la première fois qu'ils appellent, il est difficile de les éduquer. Ce sont des retraités, donc ils ont généralement moins d'expérience des services authentifiés que l'utilisateur moyen d'ordinateurs.

S'ils vous donnent leur mot de passe pour interroger autre chose sur leur compte, créez un système de PIN de support. Ce code PIN serait dans leur compte et fournit une méthode alternative (mais moins sécurisée) qu'un mot de passe.
Nous avons accès à toutes les informations et aux installations de support sans avoir besoin de connaître leurs mots de passe, donc un système de broches ne vous aiderait pas. De plus, les personnes qui demandent de l'aide sont généralement des personnes qui appellent pour la première fois.
J'ai travaillé dans un service d'assistance et nous n'avions tout simplement pas accès à leurs mots de passe. Maintenant, bien sûr, les gens essaient toujours de vous donner leur mot de passe, et j'ai fait de mon mieux pour ne pas m'en souvenir. Tant que les employés n'y ont pas accès, prenez-leur l'habitude de leur dire qu'ils ne peuvent pas voir leur mot de passe pour des raisons de sécurité. Ensuite, suggérez-leur de réinitialiser leur mot de passe en cas de problème. C'est ce que nous avons fait, mais les gens veulent appeler pour vérifier leurs mots de passe en raison de leur propre comportement. Trouvez un moyen d'informer les clients sur la manière de mieux gérer leurs mots de passe, ce qui peut ou non aider.
Nous avons une installation à réinitialiser mais nous recevons toujours les appels. Avec son soutien interne et son soutien au public, il peut être difficile de savoir qui est la personne.
"nous appeler pour clarifier leurs mots de passe": Qu'est-ce que cela signifie, * clarifier *? Dit-il ses mots de passe pour s'identifier? Ou veulent-ils que cela change?
@unor Il n'y a aucune raison pour eux de nous indiquer leur mot de passe. Ils appellent littéralement, et pendant que nous cherchons à savoir s'ils sont internes ou externes, ils disent "mon mot de passe est x est-ce vrai?". C'est étrange car je n'ai jamais eu ce problème auparavant. Je tiens également à souligner que ces personnes sont des retraités dont certaines sont très âgées.
Peut-être pouvez-vous contourner le problème en demandant à vos clients de s'identifier avec une information moins sensible? Voir ma [réponse mise à jour ci-dessous] (http://security.stackexchange.com/a/110267/42360) pour un exemple.
Cela ressemble plus à une question UX qu'à une question de sécurité.
Honnêtement? Nous martelons "ne dites à personne vos mots de passe" sous une forme ou une autre depuis 30 ans maintenant. S'ils ne l'ont pas encore compris, ils ne le feront pas. Je doute que vous puissiez faire beaucoup.
Je ne vois vraiment pas le problème. Les travailleurs du helpdesk ne sont pas dignes de confiance?
@peter a. Schneider est une question de responsabilité.
@Terry Je pense qu'il aurait été essentiel de souligner que votre population d'utilisateurs est très analphabète. Pour ce contexte spécifique, je trouve que la réponse de mk444 est bien plus avantageuse que la réponse principale. Publier sur UX peut également être une bonne solution, mais indiquez trop clairement qu'il s'agit de simplifier le processus d'authentification d'une population analphabète afin que les gens ne donnent pas leur avis, mais des solutions qui ont fonctionné pour des bases d'utilisateurs similaires. Je vais proposer une modification pour clarifier la situation dans votre question.
@SteveDL C'était un montage très dramatique, à tel point que je suis allé signaler la question comme un double de "l'original"
_ "Merci d'avoir appelé le service d'assistance. Vous serez redirigé vers le prochain responsable disponible dans un instant. N'oubliez pas que le personnel du service d'assistance ne peut pas répondre aux questions concernant la validité de votre mot de passe et qu'aucune information de ce type n'est disponible. "_ ... Bip.
@shelvacu Il a réussi à sortir ce que j'essayais de demander, donc c'était aussi un bon montage.
* "Merci d'avoir appelé le service d'assistance. Il y a un délai de 15 secondes sur cette ligne téléphonique, pour permettre à un système de censure automatisé d'identifier et de supprimer tous les mots de passe prononcés pendant l'appel. Si vous êtes certain de ne jamais dire votre mot de passe pendant l'appel , vous pouvez passer à un appel sans délai pour un paiement unique de 4,99 $ ... "*" Mon mot de passe est BEEEEEEEEEP, n'est-ce pas? "
Je suis surpris que personne n'ait demandé ce que signifie «leur remettre». Quelqu'un d'autre que l'utilisateur définit-il son mot de passe? Pourquoi?
L'idée que je ne suis pas censé faire confiance au helpdesk m'a toujours paru kafkaïenne. A qui puis-je faire confiance alors?
@nocomprende Il n'y a aucune raison pour laquelle vous devriez avoir besoin de faire confiance à une personne avec votre mot de passe, cela ne peut que * ajouter * des risques.
@dmckee Alors, en quoi * puis-je * faire confiance à quelqu'un? N'importe quoi? A qui puis-je faire confiance? Personne? Ce n'est pas un monde dans lequel les gens devraient vivre.
Seize réponses:
Matthew
2016-01-11 18:34:00 UTC
view on stackexchange narkive permalink

Assurez-vous qu'il existe une méthode permettant aux utilisateurs de réinitialiser leurs propres mots de passe et établissez une politique selon laquelle le service d'assistance initiera une réinitialisation de mot de passe si un mot de passe leur est révélé.

Les utilisateurs auront tendance à téléphoner lorsque ils ne peuvent pas se connecter, et par conséquent, déclencher le même processus de réinitialisation de mot de passe qu'ils le peuvent eux-mêmes les amène à apprendre lentement que cela n'aide pas à téléphoner.

Je ne suis pas sûr que la partie d'apprentissage soit pertinente, car au fil du temps, votre base d'utilisateurs sera actualisée avec de nouveaux utilisateurs. Si les 100 premiers ont appris que l'appel est inutile, cela ne signifie pas que les 100 suivants comprendront cela plus tôt.
Éduquer les utilisateurs serait difficile car ce sont des nouveaux appelants dans 90% des cas et la plupart d'entre eux n'ont jamais utilisé un ordinateur pour autre chose que pour vérifier leurs e-mails.
J'ai pris "helpdesk" pour déduire une structure plus interne, donc soutenir un pool connu d'employés, par exemple, plutôt qu'une ligne de support externe. C'est un problème plus difficile pour un environnement où vous n'avez aucun contrôle sur les utilisateurs - peut-être qu'un script standard aiderait, comme le suggère @silverpenguin dans un commentaire sur une autre réponse ici.
Personnellement, si quelqu'un ne sait déjà pas qu'il ne doit pas indiquer son mot de passe au service d'assistance, la réinitialisation réactive de son mot de passe le mettrait probablement en colère - même s'il est bon de s'assurer qu'il est le seul à connaître son mot de passe. S'il s'agit d'informations extrêmement sensibles, c'est un must. Sinon, je pense qu'avoir une sorte d'enregistrement avant qu'un appel ne soit pris pourrait aider - "Votre appel peut être enregistré à des fins d'assurance qualité. N'oubliez pas de ne jamais révéler votre mot de passe à qui que ce soit, y compris au service d'assistance."
Peut-être, c'est pourquoi il devrait y avoir une méthode très claire pour permettre aux utilisateurs de gérer leurs propres mots de passe. Les mots de passe sont une méthode inutile de vérification des utilisateurs, mais nous sommes probablement coincés avec eux pendant un certain temps. Il y a une distinction entre quelqu'un qui téléphone en disant «mon mot de passe est 'password1' et il ne fonctionne pas» et «j'ai un problème, mon nom d'utilisateur est 'username' et mon mot de passe est 'password1' - pouvez-vous vous connecter et le réparer ? "
@Matthew Votre exemple est très vrai. Avant même de savoir s'ils sont internes ou externes, la plupart nous ont déjà indiqué leur mot de passe.
@Jake Je suis entièrement d'accord avec cette réponse. Cependant, je pense qu'il serait sage de formuler le message légèrement différemment. Dire de façon flagrante "Ne dites pas votre mot de passe au service d'assistance" mettrait énormément de méfiance chez certains clients qui ont des compétences technologiques limitées, ce qui n'est pas ce que vous voulez.
@Luke Park: le libellé standard pour cela est généralement quelque chose comme "notre représentant ne vous demandera jamais votre mot de passe". Espérons que les gens comprennent que cela signifie qu'ils ne sont pas censés donner leur mot de passe, sans donner un sentiment de méfiance.
En supposant que les agents de votre helpdesk sont dignes de confiance, leur révéler le mot de passe sur une ligne téléphonique relativement sécurisée n'est probablement pas un grave compromis de sécurité. Cela met simplement l'agent dans une situation sociale délicate. Par conséquent, la réinitialisation forcée de leur mot de passe inflige essentiellement une leçon éducative punitive. Cela dit, si quelqu'un m'envoie son mot de passe par e-mail, je considère que le mot de passe est compromis et je le réinitialiserai de force.
Les lignes téléphoniques @200_success: ne sont sécurisées que si elles sont cryptées. Et même si * votre * partie suit de bonnes procédures, tout le monde dans le bureau de l'appelant (et probablement le bureau suivant) a maintenant entendu le mot de passe. En fait, s'il est possible de * dire * le mot de passe (en un mot), c'est un mot de passe très faible pour commencer ...
@DevSolar Eh bien, à moins que vous n'utilisiez une _passphrase_, bien sûr. Bien que ces _are_ plus d'un mot.
Il y a plus de deux ans, mon entreprise a lancé un outil de réinitialisation automatique des mots de passe qui peut réinitialiser les mots de passe pour AD, SAP, AIX et de nombreux autres systèmes que nous utilisons. Et pourtant, 65% des appels au helpdesk concernent la réinitialisation des mots de passe.
16b7195abb140a3929bbc322d1c6f1
2016-01-11 18:28:33 UTC
view on stackexchange narkive permalink

Malheureusement, certains utilisateurs le feront toujours, mais vous pouvez ajouter de l'audio au message d'introduction et conserver de la musique, en rappelant que les utilisateurs ne doivent pas fournir de mots de passe par téléphone.

Nous n'avons actuellement pas d'audio avant de répondre du tout. Je suppose que cela devrait vraiment être mis en œuvre.
alors peut-être qu'une phrase devrait être convenue lorsque vous répondez au téléphone "bonjour bienvenue aux rencontres sournoises, juste un rappel que vous ne devriez jamais me révéler votre mot de passe, mon nom est terry, je vais vous aider aujourd'hui"
Si vous n'avez pas de message d'introduction enregistré pour les appelants, vous pouvez simplement former votre personnel à dire quelque chose de approprié lors de la prise du téléphone: par exemple. * "Bonjour, widgets Acme, nous n'avons jamais besoin de, demandez ou connaissez votre mot de passe - comment puis-je vous aider" *. Maladroit, mais le brainstorming avec le personnel peut produire quelque chose avec lequel ils pourraient être à l'aise.
@silverpenguin, il est inutile que la personne du helpdesk le dise parce que s'ils n'étaient pas bons, ils ne pourraient tout simplement pas donner cet avertissement! L'essentiel de cette question est que vous ne faites pas confiance au personnel du helpdesk ou ce ne serait pas un problème.
@JamesRyan Je suis d'accord avec vous mais il semble y avoir des options très limitées autres qu'un message préenregistré
@Terry un point, vous pouvez facilement [A / B test] (https://www.smashingmagazine.com/2010/06/the-ultimate-guide-to-ab-testing/) différents messages audio pour voir quel message transmet le mieux les idées selon lesquelles les utilisateurs de * (a) * ne doivent divulguer leur mot de passe à personne et * (b) * votre personnel ne connaît pas les mots de passe et ne peut pas les confirmer. Une approche de test ici est beaucoup plus rapide et efficace que de se demander si les gens comprendront ceci ou cela. N'oubliez pas de tester * une chose à la fois *.
@Terry Si vous n'avez pas de musique / messages d'attente automatisés, alors excellent travail! Vraiment, continuez comme ça. Cela n'aide pas avec ce problème particulier, mais je voulais juste dire du bon travail. Tout le monde déteste les messages automatisés et l'avantage du service client de ne pas les avoir est généralement très élevé.
@MarkHenderson certaines personnes semblent surpris lorsqu'une personne répond en quelques secondes. Parfois, ils ne sont même pas encore de l'autre côté.
@JamesRyan: Il s'agit aussi de personnes qui écoutent l'appel.
_ "Merci d'avoir appelé le service d'assistance. Veuillez noter que 78,6% de nos techniciens d'assistance ont purgé une peine de prison pour vol d'identité. Pour cette raison, ne divulguez JAMAIS votre mot de passe par téléphone, en particulier à un technicien du service d'assistance. Nous allons maintenant vous redirige vers le prochain technicien du service d'assistance disponible ... "_ Il vous suffit de modifier vos politiques de recrutement pour que cette affirmation soit vraie ...
Jozef Woods
2016-01-11 19:01:17 UTC
view on stackexchange narkive permalink

En termes simples, il n'y a aucun moyen d'écarter complètement cela. Cependant, il existe des politiques et des procédures que vous pouvez mettre en place pour le réduire:

  • Envoyez des messages de sensibilisation à la sécurité (autonomes ou des pieds de page vers d'autres messages) réitérant que les mots de passe sont privés et ne doivent jamais être fournis à n'importe qui.
  • Former le personnel du Helpdesk à interrompre les clients avant qu'ils ne puissent donner leur mot de passe.
  • Mettre en œuvre une politique selon laquelle si un client donne un mot de passe au helpdesk, ce mot de passe doit être immédiatement réinitialisé.
  • Assurez-vous que les sections en libre-service sont bien visibles et bien annoncées (pour les réinitialisations / récupérations de mot de passe).

La plupart d'entre elles ont un coût associé au service (inconvénient, généralement, et paperasse supplémentaire), qui devrait être pris en compte avant la mise en œuvre, mais c'est la direction générale.

"si un client donne un mot de passe au helpdesk, ce mot de passe doit être immédiatement réinitialisé" est la meilleure déclaration faite jusqu'ici dans tout ce post.
Nous avons déjà défini leurs mots de passe pour expirer lorsque cela se produit.
@Mawg pas vraiment - non plus a) le personnel du helpdesk est digne de confiance et ne va pas abuser du compte lui-même, auquel cas - pas de mal. ou b) le personnel du service d'assistance n'est pas digne de confiance, ne réinitialisera pas le mot de passe et abusera du compte. La réinitialisation du membre du personnel du support technique ne résout pas le problème de sécurité ici. Le principal problème de sécurité est qu'ils disent aux gens leurs mots de passe et peuvent le dire à quelqu'un d'autre. Éduquer l'utilisateur est la seule chose sensée (et pratique) à faire.
@gbjbaanb Ce n'est pas une mesure pour lutter contre le manque de fiabilité dans le Helpdesk, c'est une mesure qui associe la distribution d'un utilisateur de son mot de passe à un compromis. Vous ne pouvez contrôler que les procédures du helpdesk, mais vous invalidez les informations d'identification qui ont été transmises et aidez le client à comprendre que la distribution de mots de passe conduit à des mots de passe incorrects.
@JozefWoods exactement - aider le client à comprendre est le facteur important. La réinitialisation du mot de passe n'est pas pertinente (bien que souvent une procédure raisonnable, l'OP dit que dans ce cas, ce serait contre-productif)
emory
2016-01-11 19:11:44 UTC
view on stackexchange narkive permalink

Je pense qu'en plus de la réinitialisation immédiate du mot de passe, il peut être approprié de rappeler aux utilisateurs les conditions d'utilisation ( exemples de conditions d'utilisation).

Vous êtes le seul utilisateur autorisé de votre compte. Vous êtes responsable du maintien de la confidentialité de tout mot de passe fourni par Vous ou par Zimride pour accéder au Service. Vous êtes seul et entièrement responsable de toutes les activités qui se produisent sous Votre mot de passe ou compte. Zimride n'a aucun contrôle sur l'utilisation du compte de tout utilisateur et décline expressément toute responsabilité en découlant. Si vous soupçonnez qu'une partie non autorisée peut utiliser votre mot de passe ou votre compte ou si vous soupçonnez une autre violation de la sécurité, vous nous contacterez immédiatement.

Dites à l'utilisateur qu'il a enfreint les conditions de service en divulguant le mot de passe et que vous réinitialisez le mot de passe pour le remettre en conformité.

Cela dépend également du type de service que vous fournissez. Pour moi personnellement, si je n'attache aucune valeur monétaire à mon compte, je ne me soucierai probablement pas beaucoup des conditions de service. D'un autre côté, si je pose des questions sur mon compte de retraite et qu'il est sous-entendu que de fréquentes violations des conditions de service peuvent être utilisées comme preuve pour exonérer l'entreprise de sa responsabilité financière en cas de faille de sécurité, je ferai certainement attention.

Par exemple, certains pirates volent mon argent en utilisant une faille de sécurité sans rapport avec la sécurité, mais la société ne veut pas réparer, alors ils utilisent mes divulgations de mot de passe comme preuve de mon insouciance.

Dire à un utilisateur qu'il a enfreint quelque chose ne vous fera pas vraiment aimer vos utilisateurs. Personne n'aime se faire dire qu'il vient de faire quelque chose de mal, puis se faire gifler la main en réinitialisant son mot de passe. Cela ne ferait que conduire à des clients moins satisfaits, qui pourraient simplement aller ailleurs.
@SteveSether Je pense que vous avez raison. C'est un domaine sensible. Si la banque doit utiliser les divulgations de mot de passe comme preuve de négligence du mot de passe afin de se dégager de sa responsabilité, la banque doit avertir le client. Il serait probablement préférable de mandater 2FA pour les clients négligents avec leurs mots de passe.
Pour vous adresser à @SteveSether's concerns: Plutôt que de dire qu'ils ont "violé" quelque chose, dites simplement "conformément à notre politique de sécurité, vous seul devez connaître votre mot de passe, alors maintenant que je le connais, je suis obligé de le réinitialiser. Je suis désolé pour tout inconvénient , mais nous devons protéger votre compte contre tout accès non autorisé ".
@MontyHarder Il serait plus amusant de le formuler comme suit: "Maintenant que je connais votre mot de passe et votre nom d'utilisateur, je prévois de rentrer à la maison et de me connecter à votre compte. Souhaitez-vous réinitialiser votre mot de passe pour que je ne puisse pas entrer?" - mais je ne pense pas qu'ils trouveraient cela aussi drôle que moi, quelque chose à propos de la ruine de leur confiance avec les employés de l'entreprise ne convient généralement pas à toutes les personnes impliquées.
Nick Young
2016-01-11 23:27:41 UTC
view on stackexchange narkive permalink

J'ai un processus simple qui a appris aux utilisateurs assez rapidement à ne pas nous donner leur mot de passe. Si un utilisateur vous indique son mot de passe, faites la même chose que vous feriez si vous saviez que l'utilisateur a dit le mot de passe à quelqu'un d'autre, forcez-le à définir un nouveau mot de passe. Terminez l'appel / l'interaction, puis informez l'utilisateur que pour la sécurité, vous devez maintenant réinitialiser son mot de passe, n'oubliez pas de ne jamais dire à personne (y compris son responsable ou son personnel informatique) son mot de passe et, le cas échéant, d'en informer immédiatement le service informatique afin que vous puissiez réinitialisez-le.

Falco
2016-01-12 17:21:37 UTC
view on stackexchange narkive permalink

Vous auriez pu poser cette question sur UIX.StackExchange - ici personne ne semble poser la question "Pourquoi vous disent-ils leur mot de passe?". Je pense qu'essayer d'éduquer les gens avec des messages audio ou des avertissements ne résoudra pas l'affaire. La plupart des gens savent qu'ils ne devraient pas divulguer leur mot de passe à qui que ce soit sans une bonne raison.

Si tant de personnes appellent votre support pour affirmer "P4ssW0rd est mon mot de passe, non?" Il semble que votre interface utilisateur les laisse ignorants si c'est vraiment leur mot de passe. Cela peut avoir plusieurs raisons - si vous avez d'anciens clients, cela pourrait simplement être qu'ils oublient leur mot de passe, mais les gens qui savent qu'ils ne se souviennent pas facilement de certaines choses l'écriront généralement.

Peut-être ont-ils des problèmes pour se connecter et recevez le message habituel "Vous avez entré un nom d'utilisateur ou un mot de passe erroné" - Il est naturel de demander à l'assistance si le nom d'utilisateur ou le mot de passe que vous avez entré était erroné. Peut-être qu'ils reçoivent le même message si leur compte est verrouillé? Ou peut-être qu'ils obtiennent leur premier mot de passe par courrier électronique et qu'il ne "ressemble" pas à un mot de passe. Ou l'application ne simplifie pas assez la tâche pour savoir quel est votre mot de passe.

Vous devriez demander aux utilisateurs pourquoi ils ont besoin de clarifier leur mot de passe et vous trouverez probablement une raison dans la communication avec l'utilisateur / dans le interface utilisateur qui amène tant de personnes à ressentir le besoin de clarifier leur mot de passe par téléphone.

L'interface est en fait très simple. Ils saisissent leur adresse e-mail, choisissent un mot de passe, puis une question secrète. Ils reçoivent ensuite un lien d'activation confirmant leur nom d'utilisateur et un lien pour se connecter. Il semble qu'ils ne se souviennent pas du mot de passe peu de temps après l'avoir défini. Comme je l'ai mentionné plus tôt, quelques-uns sont des retraités.
Vous pouvez indiquer clairement pour l'enregistrement "Vous aurez besoin de ce mot de passe et de ce nom pour vous connecter, veuillez les retenir attentivement" Sur le formulaire de connexion, vous pouvez peut-être fournir un lien avec un message plus agréable comme `Impossible d'accéder au site / Je ne suis pas sûr comment se connecter? `Et leur donner un processus facile avec des images comment réinitialiser leur compte. - Vous pouvez également envoyer un lien d'activation dans l'e-mail qui les connectera automatiquement.
Simplifiez, simplifiez, simplifiez. Les points @Falco's sont tous excellents. Indépendamment de la façon dont vous abordez la prévention de la fuite d'informations qui vous ont perturbé en premier lieu, cela doit provenir d'une faille ou d'un souci d'une forme ou d'une autre. Le mieux serait de savoir pourquoi cela se produit. Sans en connaître la raison, vous ne saurez pas quoi redessiner.
Kjartan
2016-01-11 19:40:40 UTC
view on stackexchange narkive permalink

Mise à jour avec une nouvelle proposition de solution:

Que faire si vous avez commencé chaque conversation en demandant à un client la réponse à une phrase de passe que lui seul devrait connaître? Une option similaire a été utilisée comme mesure supplémentaire pendant longtemps dans une entreprise pour laquelle je travaillais auparavant, où la sécurité est relativement élevée, et j'ai le sentiment que cela peut aider à contourner des problèmes comme le vôtre.

La façon dont cela fonctionne est la suivante: Lorsqu'un client appelle et donne son nom, vous recherchez ses informations, y compris un jeu de questions et de réponses en texte brut. Demandez-leur maintenant immédiatement de vérifier leur identité en répondant à la question que vous leur avez lue.

À quoi cela servirait-il?
Deux choses, j'espère espérer : Premièrement, cela devrait améliorer votre sécurité, même si ce n'est que marginalement. Les informations peuvent être stockées en texte brut, avec accès à toutes les personnes travaillant au service d'assistance, et il est probable que la plupart des réponses seraient facilement devinables, surtout si un attaquant faisait un peu de recherche avant de vous appeler. Même dans ce cas, cela devrait encore rendre un peu plus difficile l'usurpation de l'identité de l'un de vos clients par téléphone sans susciter de soupçon.

Deuxièmement, et plus important encore pour votre problème particulier, cela devrait indiquer clairement à l'appelant que vous l'avez en fait identifié et que vous consultez actuellement les données de ses clients. L'idée ici est que vous permettez à votre client d'être utile . C'est, après tout, probablement pourquoi ils sont si désireux de vous donner leur mot de passe, n'est-ce pas?

En gros, vous leur fournissez alors un moyen simple de s'identifier sans révéler l'élément le plus sensible de info qui est leur mot de passe personnel.

Ma réponse précédente:

Vous pouvez et devez continuer à essayer d'éduquer vos utilisateurs sur des problèmes comme celui-ci, mais il y aura toujours des utilisateurs qui l'ignorent ou qui ne le prennent pas au sérieux. Chaque fois que cela se produit, assurez-vous d'en informer poliment à nouveau vos utilisateurs et dites-leur que vous avez une politique qui les oblige à réinitialiser leur mot de passe maintenant qu'il a été révélé .

S'il s'agit d'un problème récurrent, vous voudrez peut-être aussi chercher pourquoi cela se produit. Les personnes de votre service d'assistance ont-elles réellement besoin d'accéder aux comptes clients, même si ce n'est que pour une courte période pour les aider? Peut-être pouvez-vous trouver une solution où l'accès temporaire est donné avec un mot de passe temporaire? Si cela inclut une solution annoncée qui vous simplifie la tâche pour aider vos utilisateurs, tout en étant également évident pour eux que vous pouvez y accéder sans qu’ils aient à vous fournir leur mot de passe, alors peut-être qu’ils ne se sentiront pas le besoin de vous «aider» à accéder à leurs comptes?

Évidemment, cela nécessiterait une journalisation chaque fois qu'un employé accède à un compte utilisateur, de préférence avec une brève description de pourquoi, ce qui a été fait, etc., ainsi que une politique stricte de confidentialité et des directives sur ce que les employés peuvent et ne peuvent pas faire, etc.

Ugh, non. N'avons-nous pas appris maintenant que [les «questions de sécurité» »ne sont rien d'autre qu'un théâtre potentiellement dévastateur] (http://www.wired.com/2012/08/apple-amazon-mat-honan-hacking/)?
Je comprends votre point de vue, mais cela dépend de la façon dont vous les utilisez. J'ai spécifiquement différencié cela du concept plus sensible des mots de passe personnels. Une bonne formation pour les employés du service d'assistance est essentielle ici: ce n'est pas parce que vous appliquez ce test simple pour augmenter un peu la barre de l'usurpation d'identité que vous ne pouvez pas dire aussi, par exemple: "* Désolé, je ne peux pas donner d'informations personnelles de votre compte ou modifiez les détails de votre compte par téléphone, mais si vous le souhaitez, je peux réinitialiser votre mot de passe pour vous afin que vous puissiez le faire vous-même. Le nouveau mot de passe sera envoyé à l'adresse e-mail enregistrée dans votre compte * ".
Cela dépend de la façon dont vous les utilisez? Que diriez-vous _pas du tout? _ Le reste est très bien: offrez d'envoyer un lien de réinitialisation du mot de passe à l'adresse déjà enregistrée, et rien d'autre. C'est aussi ce que font la plupart des sites Web. Si c'est comme ça que tout fonctionnait, les choses seraient beaucoup moins mauvaises. Vous commencez à avoir de sérieux problèmes lorsque vous proposez des réinitialisations de mot de passe sur les réponses correctes aux questions qu'un enquêteur privé pourrait comprendre, ou lorsque vous laissez quelqu'un appeler et modifier les informations de compte (puis rappelez et utilisez les informations modifiées pour accéder au compte) .
J'ai spécifiquement dit qu'aucune information ne devrait être donnée ou modifiée, donc je ne suis pas sûr de ce que vous voulez en venir. Laisser quelqu'un à un bureau d'appel réinitialiser votre mot de passe n'est rien de plus que n'importe quelle personne aléatoire pourrait le faire en cliquant sur le lien correspondant sur un site Web.
Thomas F.
2016-01-12 00:46:26 UTC
view on stackexchange narkive permalink

Je voulais juste ajouter ceci aux autres options ici (qui sont bonnes.)

Je ne sais pas quel type de système téléphonique vous utilisez, mais en plus de ceux suggérés ci-dessus, serait-il possible qu'un court message audio automatisé soit lu à l'utilisateur appelant pour l'informer de ne pas partager son mot de passe avec des représentants de service et tout cela? Ce message automatisé pourrait à la fois éduquer les utilisateurs avant qu'ils n'arrivent à contacter les représentants, et empêcher tout représentant malveillant de demander des mots de passe (je ne sais pas quel est le problème.)

user1
2016-01-12 20:55:38 UTC
view on stackexchange narkive permalink

Je poste ce commentaire en guise de réponse car je pense que c'est une très bonne réponse à la question

Personnellement, si quelqu'un ignore déjà qu'il ne doit pas indiquer son mot de passe au service d'assistance, puis la réinitialisation réactive de leur mot de passe les mettrait probablement en colère - même s'il est bon de s'assurer que seuls eux connaissent leur mot de passe. S'il s'agit d'informations extrêmement sensibles, c'est un must. Sinon, je pense qu'avoir une sorte d'enregistrement avant qu'un appel ne soit pris peut aider - "Votre appel peut être enregistré à des fins d'assurance qualité. N'oubliez pas de ne jamais révéler votre mot de passe à qui que ce soit, y compris au service d'assistance."

- @Jake

wuxmedia
2016-01-13 13:47:20 UTC
view on stackexchange narkive permalink

Un autre venant du champ de gauche, essayant d'arrêter la fuite, plutôt que de nettoyer le sol.

Si votre mot de passe contient des lettres et des chiffres, assez souvent nous obtenons un beaucoup de problèmes avec les polices non monotypes. '1' 'i' 'l' a tous le même aspect '0' 'O' aussi. Alors peut-être utiliser une image, ou forcer le navigateur à utiliser un monotype, lors de l'affichage de leur passe?

Ou obtenir votre passer l'algorithme pour ne pas utiliser l'un des éléments ci-dessus.

Philip Oakley
2016-01-15 20:16:17 UTC
view on stackexchange narkive permalink

Il s'agit généralement d'un symptôme de mauvaise communication, procédures, organisation, politiques et stratégies de l'entreprise envers le client.

Pour certains de mes comptes bancaires, même je ne comprends pas de quoi il s'agit entre le code PIN, la phrase de sécurité, le numéro de sécurité, le mot de passe, l'identifiant client, le nom de connexion, nom de connexion, adresse e-mail, adresse e-mail et une autre adresse e-mail, qui sont parfois différents et parfois non. (notez les doublons!). Ensuite, il y a les cartes d'identité et les codes à deux facteurs à suivre.

Par exemple. mon FAI m'a demandé de saisir une adresse e-mail pour créer un compte afin d'obtenir leur service qui fournissait une adresse e-mail [voir (1)], puis mon identifiant ADSL téléphonique était également une «adresse e-mail». Alors, avec qui dois-je me connecter - les deux en fonction de la page Web!

Pas étonnant que les gens soient confus et que la sécurité soit compromise par tous ces prétendus «schémas» d'amélioration de la sécurité.

Ensuite J'essaie d'aider mes beaux-parents âgés (87 & 90) avec des problèmes de prothèse auditive, etc.

Il s'agit de la gestion des risques et des conséquences (en fait, ce sont des dangers, des probabilités, ...).

Assurez-vous que le service des communications améliore le format et la mise en page de ces e-mails, et qu'ils ne peuvent être confondus avec aucun autre élément au son similaire (c'est-à-dire en supprimer un, donc il n'y a AUCUN élément au son similaire!)

Franco
2016-01-18 12:06:06 UTC
view on stackexchange narkive permalink

Je pense qu'il est préférable d'avoir un message automatisé via IVR leur disant explicitement que-

Pour des raisons de sécurité, veuillez ne jamais fournir vos mots de passe à nos représentants du service d'assistance ...

avant même qu'ils ne parlent à votre équipe d'assistance.

J'espère que cela vous aidera! :)

ddyer
2016-01-15 02:25:46 UTC
view on stackexchange narkive permalink

Je vous suggère de revenir en arrière et de vous demander pourquoi les utilisateurs font cela en premier lieu. Ce qui me vient à l'esprit, c'est qu'ils ne peuvent pas se connecter et essaient de déterminer s'ils ont oublié leur mot de passe ou si quelque chose ne va pas - le compte est bloqué, ils ont le mauvais nom d'utilisateur, etc.

Votre problème est que l'utilisateur innocent essayant de résoudre son problème d'accès est mêlé à des tentatives malveillantes d'accéder aux comptes par l'ingénierie humaine de votre personnel de support. Malheureusement, cela ne fonctionnera probablement pas de simplement demander à l'appelant qu'il est un vrai utilisateur ou un criminel.

Je n'ai pas de réponse pour vous - toute information que votre personnel est prêt à fournir ou à confirmer est potentiellement dans le cadre d'une tentative d'accès par quelqu'un qui ne le devrait pas.

user82913
2016-01-17 01:57:54 UTC
view on stackexchange narkive permalink

Les gens ont l'habitude de faire confiance aux personnes à qui ils demandent de l'aide, sinon ils ne leur demanderaient pas ... Médecins, thérapeutes, réparation automobile, service d'électroménagers, etc. Par exemple, hier, j'ai emmené ma voiture au magasin pour une réparation. Ce serait absurde s'ils disaient: "Ne donnez en aucun cas la clé de votre voiture à un membre de notre personnel (ou à toute autre personne)!" À l'intérieur de ma voiture se trouvaient les documents habituels indiquant mon nom et mon adresse (papier d'immatriculation de la voiture, documents d'assurance) et j'ai également une clé de mon appartement cachée à l'intérieur de la voiture (au cas où je me verrouillerais d'une manière ou d'une autre, et il y a un clé de voiture de rechange dans mon portefeuille). Il est possible que de mauvaises personnes travaillent au garage, mais peu probable.

Mais dans tous les cas, personne ne peut "pirater" mon appartement ou voler ma voiture sans en fait étant ici, je n'ai donc pas à me soucier de faire confiance à 99,9999% de la population mondiale. Si j'égare ma clé de voiture en Nouvelle-Zélande, ce ne sera pas un problème. Si quelqu'un en Roumanie obtient une copie de la clé de mon appartement, toujours pas de problème. Donc, le fait est que le monde électronique est juste différent .

Je pense que la solution est de le rendre plus proche du monde réel: personne vivant en dehors de ma ville natale ne devrait pouvoir accéder à mon compte bancaire à distance. Si j'ai acheté de l'essence à la maison avec ma carte de crédit et que quelqu'un essaie de l'utiliser à 2000 km une heure plus tard, cela devrait tout simplement échouer. (Et ça l'a fait une fois. Bravo à ma coopérative de crédit pour avoir fait automatiquement ce qui était le mieux pour moi sans que je ne le demande ou que je doive payer pour ça!)

Vous ne pouvez pas expliquer aux gens ou empêcher des hypothèses fondées sur un monde de confiance vérifiable si le monde que vous «vendez» n'a pas de tels avantages. Changez le monde que vous vendez aux gens. Rendre un mot de passe qui a été volé aussi inutile que ma clé de voiture se trouve en Nouvelle-Zélande. La technologie doit fonctionner pour les gens , et non l'inverse. SI les éléments que vous créez ne sont pas sécurisés, travaillez plus dur. Nous avons considérablement amélioré la sécurité des avions, des voitures et de l'électricité, nous ne nous sommes pas contentés de dire: Oh, eh bien, il faut plus d'éducation.

The D
2016-01-17 18:35:01 UTC
view on stackexchange narkive permalink

Je travaille pour un service d'assistance, et nous avons récemment lancé un service en ligne où nos membres peuvent se connecter.

Il est dommage qu'un problème de conception dresse la tête et vous, en première ligne, devez vous en occuper, alors que ce devraient être les architectes qui devraient avoir à répondre aux commentaires fournis dans ce QA.

Je note deux choses (en italique le mien):

Un problème que nous rencontrons est que les utilisateurs qui nous appellent nous demandent souvent de confirmer que le mot de passe qui leur a été remis est correct. Ce faisant, ils divulguent leur mot de passe par téléphone. Comment pouvons-nous éviter cela?

et:

Environ 90% de nos appelants sont des nouveaux appelants. Puisqu'ils le font la première fois qu'ils appellent, il est difficile de les éduquer. Ce sont des retraités , donc ils ont généralement moins d'expérience des services authentifiés que l'utilisateur moyen de l'ordinateur.

Le problème ici n'est pas la conception du système de mot de passe, le problème est l'utilisation de mots de passe en premier lieu, par un public inadapté.

Si je concevais ce système, j'éviterais les mots de passe, ou sinon, je fournirais un moyen d'authentification alternatif approprié pour un moins- public technique. Mes options préférées incluent:

  • Mots de passe à usage unique provenant d'une clé RSA ou similaire (utilisé dans un système d'authentification à un facteur),
  • Certificats côté client de l'un ou l'autre une carte à puce ou une carte à puce virtuelle (sécurisée par un code PIN) ou à partir d'un dongle USB sécurisé
  • «Picture Passwords» (une série de clics / tapotements sur une grande image), du point de vue infosec, c'est la même chose que un mot de passe et il est plausible qu'il soit moins sécurisé si la séquence de points de clic est évidente, mais cela rend plus difficile à oublier et ne se prête pas facilement au partage par téléphone.
  • Utilisez les PII (informations personnellement identifiables) comme mot de passe. Aux États-Unis, son numéro de sécurité sociale sert souvent à cet endroit, car (généralement) tout le monde sait qu'il devrait être gardé secret, mais les gens semblent d'accord avec les sites Web de leurs banques qui le demandent pour confirmer leur identité - peut-être un analogue moins critique. pourrait être utilisé, comme une date de naissance et un nom de rue actuel, bien qu'ils ne soient guère secrets, si le système utilise des identifiants d'utilisateurs numériques ou attribués au hasard (par opposition à des adresses e-mail ou des noms d'utilisateurs en texte libre), ce serait tout aussi sûr que un mot de passe, à condition que les utilisateurs ne divulguent pas leurs identifiants.
D'une manière ou d'une autre, nous devons trouver un moyen pour que l'ordinateur sache "c'est moi" sans rien avoir à faire, et qui ne peut être volé ou usurpé. S'il a besoin de lire mon ADN, qu'il en soit ainsi. Si j'ai besoin d'avoir 100 étiquettes RFID clés RSA intégrées au hasard dans mon corps, qu'il en soit ainsi. Cette absurdité d'avoir à prouver qui vous êtes et même alors cela peut être «volé» est absurde.
willc
2016-01-14 00:41:22 UTC
view on stackexchange narkive permalink

Le risque ici semble être davantage du côté des techniciens du support technique qui se font dire le mot de passe. Si vous ne pouvez pas leur faire confiance pour ne pas abuser de leurs connaissances, vous avez un problème à résoudre.

Faire en sorte que les utilisateurs cessent de donner leur mot de passe est une question de les éduquer. Cela devrait se produire au besoin quand cela se produit.

Si un utilisateur donne un mot de passe à une personne du service d'assistance, il devrait y avoir un processus en place pour verrouiller ce mot de passe et le forcer à en créer un nouveau. Encore une fois, vous devez faire confiance à la personne du service d'assistance pour lancer cela, mais c'est pourquoi vous les contrôleriez avant d'être embauché.

Ce n'est pas une question de confiance des gens du Help Desk. Les appels sont enregistrés, transcrits, etc. Il existe de nombreuses façons de transférer le contenu de l'appel à d'autres. Le reste de votre réponse est couvert par la réponse de Matthew.
Je ne sais pas qui est Michael, mais comment la journalisation ou la transcription des appels empêche-t-elle l'employé X du service d'assistance de rentrer chez lui et d'essayer de voir si le mot de passe et la messagerie électronique connus de l'utilisateur A les amènent au compte bancaire, au compte de messagerie ou au compte Facebook de l'utilisateur A? ?
Bien au contraire. Quiconque peut accéder aux journaux et aux transcriptions est une responsabilité supplémentaire dont vous devez tenir compte.
@geekamongus Désolé, Matthew, pas Michael
@geekamongus Le premier paragraphe semble suggérer que si vous pouvez faire confiance aux gens de votre service d'assistance, alors vous n'avez rien à réparer. Ce que je veux dire, c'est que le problème existe en dehors de la confiance et même en dehors du service d'assistance. Le reste de votre réponse semble faire écho à d'autres réponses.


Ce Q&R a été automatiquement traduit de la langue anglaise.Le contenu original est disponible sur stackexchange, que nous remercions pour la licence cc by-sa 3.0 sous laquelle il est distribué.
Loading...