web-dev-qa-db-fra.com

Meilleures pratiques pour vérifier une identité d'utilisateurs pour HelpDesk

J'ai eu une conversation aujourd'hui et quelqu'un m'a contesté pourquoi vous auriez besoin de vérifier l'identité d'un utilisateur appelant un bureau de service avec quelque chose d'autre que leur courriel d'entreprise. Certes, je sais que ceux-ci peuvent être spoofés, mais l'exécutif de niveau supérieur ne l'a pas fait.

Je suis pressant d'avoir au minimum un utilisateur spécifique à l'utilisateur PIN et l'adresse électronique de l'utilisateur mis en place à des fins de vérification.

Quelqu'un a-t-il accès à des meilleures pratiques publiées pour le bureau de soutien que la vérification de l'utilisateur de l'utilisateur (téléphone, de discussion))?

7
user2041774

Le courrier électronique de la société est probablement un mauvais moyen de vérifier l'identité de quelqu'un. Dans la plupart des endroits, l'adresse e-mail est dans un format commun qui pourrait facilement être deviné. L'ingénierie sociale et le prétexte sont des moyens faciles d'obtenir des informations communes. Vous devriez également envisager la menace d'initié, un collègue pourrait impercer facilement une personne avec une adresse électronique. (Je suppose que vous voulez dire que vous donnez cela au téléphone, ne leur envoyez pas un email à ouvrir pendant un appel)

Si vous voulez authentifier Identité d'un utilisateur, vous devez utiliser quelque chose qui est non public et difficile à deviner. Certaines entreprises peuvent avoir des mots de code spécifiques, etc. Ils peuvent nécessiter un rappel à un numéro connu pour être le travail, la maison ou le numéro de cellule de l'employé. Cela ne devrait pas être leur système de mot de passe système ou email.

5
Eric G

Il y a deux côtés à cela. Tout d'abord, vérifie l'identité de l'utilisateur, et l'autre vérifie la légitimité du service d'assistance. C'est une très grosse affaire car les appels d'ingénierie sociale seront presque toujours dirigés vers l'Helpdesk ou sur l'impression d'un membre de l'assistance.

Étant donné que les utilisateurs normaux sont généralement moins sophistiqués que les opérateurs d'assistance, vous devez simplifier le processus d'authentification du service d'assistance. Par exemple, une règle très facile est tous les appels d'aide doivent être faits de l'utilisateur à Le bureau d'assistance. Si le bureau d'assistance vous appelle, alors leur seulement l'instruction devrait être "rappelez-moi au numéro de téléphone de l'assistance interne standard ". En aucun cas, vous devez faire confiance à un représentant d'assistance qui vous a appelé. Ceci est facile pour les gens de se souvenir et de mettre en œuvre facilement. En outre, chaque fois que vous appelez un utilisateur et dit "appelez-moi", ce serait une bonne idée de le rappeler Pourquoi Il devrait le faire; Juste un mot ou pour ainsi le concept est frais sur son esprit: Help Bureau vous dit toujours de les rappeler.

Ensuite, l'authentification de l'utilisateur avec le service d'assistance dépend du niveau de sécurité requis par la société. Un "appel en code PIN" ou un mot de passe est une idée raisonnable mais pas merveilleuse. Encore mieux, c'est une sorte de système interne en boucle fermée qui ne peut être mis à la disposition de quelqu'un en dehors de la société.

Mieux encore, faites simplement la règle que toutes les opérations sensibles doivent être effectuées en personne, soit au service d'assistance lui-même, soit à l'aide d'un support de bureau, avec une vérification appropriée des badges, etc.

3
tylerl