Comment dire aux utilisateurs qu'ils ne doivent pas divulguer leur mot de passe par téléphone à notre service d'assistance?

Assurez-vous qu'il existe une méthode permettant aux utilisateurs de réinitialiser leurs propres mots de passe et définissez une stratégie par laquelle le service d'assistance lancera une réinitialisation du mot de passe si un mot de passe leur est révélé.

Les utilisateurs auront tendance à téléphoner lorsqu'ils ne peuvent pas se connecter, et donc déclencher le même processus de réinitialisation de mot de passe qu'ils peuvent eux-mêmes les amène à apprendre lentement que cela n'aide pas de téléphoner.

Malheureusement, certains utilisateurs le feront toujours, mais vous pouvez ajouter de l'audio au message d'introduction et conserver de la musique, réitérant que les utilisateurs ne doivent pas fournir de mots de passe par téléphone.

Autrement dit, il n'y a aucun moyen de résoudre ce problème complètement. Il existe des politiques et des procédures que vous pouvez mettre en place pour le réduire, cependant:

• Envoyez des messages de sensibilisation à la sécurité (autonomes ou des pieds de page vers d'autres messages) réitérant que les mots de passe sont privés et ne doivent jamais être distribués à quiconque.
• Former le personnel du Helpdesk à couper les clients avant de pouvoir donner leur mot de passe.
• Mettez en œuvre une politique selon laquelle si un client donne un mot de passe au service d'assistance, ce mot de passe doit être immédiatement réinitialisé.
• Assurez-vous que les sections en libre-service sont bien en vue et bien annoncées (pour les réinitialisations/récupérations de mot de passe).

La plupart d'entre elles s'accompagnent d'un coût de service associé (inconvénients, généralement, et paperasse supplémentaire), qui doit être pris en compte avant la mise en œuvre, mais c'est l'orientation générale.

Je pense qu'en plus de la réinitialisation immédiate du mot de passe, il pourrait être approprié de rappeler aux utilisateurs les conditions de service ( exemples de conditions de service ).

Vous êtes le seul utilisateur autorisé de votre compte. Vous êtes responsable du maintien de la confidentialité de tout mot de passe fourni par Vous ou Zimride pour accéder au Service. Vous êtes seul et entièrement responsable de toutes les activités qui se produisent sous Votre mot de passe ou compte. Zimride n'a aucun contrôle sur l'utilisation de tout compte d'utilisateur et décline expressément toute responsabilité qui en découle. Si vous soupçonnez qu'une partie non autorisée utilise votre mot de passe ou votre compte ou si vous soupçonnez toute autre violation de la sécurité, vous nous contacterez immédiatement.

Dites à l'utilisateur qu'il a violé les conditions d'utilisation en divulguant le mot de passe et que vous réinitialisez le mot de passe pour le remettre en conformité.

Cela dépend également du type de service que vous fournissez. Pour moi personnellement, si je n'attache aucune valeur monétaire à mon compte, je ne me soucierai probablement pas beaucoup des conditions de service. D'un autre côté, si je pose des questions sur mon compte de retraite et qu'il est implicite que des violations fréquentes des conditions de service peuvent être utilisées comme preuve pour dégager l'entreprise de sa responsabilité financière en cas de violation de la sécurité, je ferai certainement attention.

Par exemple, certains pirates informatiques volent mon argent en utilisant une faille de sécurité non liée, mais la société ne veut pas réparer, alors ils utilisent mes divulgations de mot de passe comme preuve de ma négligence.

J'ai un processus simple qui a appris aux utilisateurs assez rapidement à ne pas nous donner leurs mots de passe. Si un utilisateur vous dit son mot de passe, faites la même chose que si vous saviez que l'utilisateur a dit le mot de passe à quelqu'un d'autre, forcez-le à définir un nouveau mot de passe. Terminez l'appel/l'interaction, puis informez l'utilisateur que, pour des raisons de sécurité, vous devez maintenant réinitialiser son mot de passe, n'oubliez pas de ne jamais dire à quiconque (y compris son responsable ou son personnel informatique) son mot de passe et s'il le fait pour informer immédiatement le service informatique afin que vous puissiez réinitialisez-le.

Vous auriez pu demander cela sur UIX.StackExchange - ici, personne ne semble poser la question "Pourquoi vous disent-ils leur mot de passe?". Je pense qu'essayer d'éduquer les gens avec des messages audio ou des avertissements ne résoudra pas l'affaire. La plupart des gens savent qu'ils ne devraient révéler leur mot de passe à personne sans raison valable.

Si tant de personnes appellent votre support pour affirmer "P4ssW0rd est mon mot de passe, non?" Il semble que votre interface utilisateur les laisse sans aucune idée si c'est vraiment leur mot de passe. Cela peut avoir plusieurs raisons - si vous avez d'anciens clients, cela pourrait simplement être qu'ils oublient leur mot de passe, mais les gens qui savent qu'ils ne se souviennent pas facilement des choses l'écrivent généralement.

Peut-être qu'ils ont des problèmes de connexion et obtiennent le message habituel "Vous avez entré un nom d'utilisateur ou un mot de passe incorrect" - Il est naturel de demander au support si le nom d'utilisateur ou le mot de passe que vous avez entré était incorrect. Peut-être reçoivent-ils le même message si leur compte est verrouillé? Ou peut-être qu'ils obtiennent leur premier mot de passe par courrier électronique et qu'il ne "ressemble" pas à un mot de passe. Ou l'application ne permet pas de savoir quel est votre mot de passe.

Vous devriez demander aux utilisateurs pourquoi ils ont besoin de clarifier leur mot de passe et vous trouverez probablement une raison dans la communication avec l'utilisateur/dans l'interface utilisateur qui amène tant de gens à ressentir le besoin de clarifier leur mot de passe par téléphone.

Mise à jour avec une nouvelle proposition de solution:

Que faire si vous avez commencé chaque conversation en demandant à un client la réponse à une phrase secrète que lui seul devrait connaître? Une option similaire a été utilisée comme mesure supplémentaire pendant longtemps dans une entreprise pour laquelle je travaillais, où la sécurité est relativement élevée, et j'ai le pressentiment qu'elle peut juste aider à contourner des problèmes comme le vôtre.

Voici comment cela fonctionne: Lorsqu'un client appelle et donne son nom, vous recherchez ses informations, y compris un ensemble de questions et réponses en texte brut. Maintenant, demandez-leur immédiatement de vérifier leur identité en répondant à la question que vous leur avez lue.

Qu'est-ce que cela permettrait?
Deux choses, j'espère : Premièrement, cela devrait améliorer votre sécurité, même si ce n'est que de façon marginale. Les informations peuvent être stockées en texte brut, tout le monde travaillant au service d'assistance y ayant accès, et il serait probablement le cas que de nombreuses réponses seraient facilement devinées, surtout si un attaquant a fait quelques recherches avant de vous appeler. Néanmoins, cela devrait encore rendre un peu plus difficile l'emprunt d'identité d'un de vos clients par téléphone sans déclencher de soupçons.

Deuxièmement, et plus important encore pour votre problème particulier, cela devrait indiquer clairement à l'appelant que vous les avez en fait identifiés et que vous regardez leurs données client en ce moment. L'idée ici est que vous permettez à votre client d'être utile . C'est, après tout, probablement pourquoi ils sont si désireux de vous donner leurs mots de passe, non?

En substance, vous leur fournirez ensuite un moyen simple de s'identifier sans divulguer les informations les plus sensibles qui sont leur mot de passe personnel.

Ma réponse précédente:

Vous pouvez et devez continuer d'essayer d'éduquer vos utilisateurs sur des problèmes comme celui-ci, mais il y aura toujours des utilisateurs qui l'ignorent ou qui ne le prennent pas au sérieux. Chaque fois que cela se produit, assurez-vous d'informer poliment vos utilisateurs à nouveau à ce sujet et dites-leur que vous avez une politique qui les oblige à réinitialiser leur mot de passe maintenant qu'il a été révélé .

S'il s'agit d'un problème récurrent, vous voudrez peut-être également chercher à savoir pourquoi cela se produit. Les employés de votre service d'assistance ont-ils réellement besoin d'accéder aux comptes des clients, ne serait-ce que pour une courte période pour les aider? Peut-être pouvez-vous trouver une solution où l'accès temporaire est accordé avec un mot de passe temporaire? Si cela inclut une solution annoncée qui vous permet d'aider vos utilisateurs de manière simple, tout en étant évident pour eux que vous pouvez avoir accès sans qu'ils aient à fournir leur mots de passe pour vous, alors peut-être qu'ils ne ressentiront pas le besoin de "vous aider" à accéder à leurs comptes?

Évidemment, cela nécessiterait de se connecter à chaque fois qu'un employé accède à un compte d'utilisateur, de préférence avec une brève description de la raison et de ce qui a été fait, etc., ainsi qu'une politique stricte en matière de confidentialité et des directives sur ce que les employés peuvent et ne peuvent pas faire, etc.

Je poste ce commentaire comme réponse car je pense que c'est une très bonne réponse à la question

Personnellement, si quelqu'un ne sait pas déjà qu'il ne doit pas communiquer son mot de passe au service d'assistance, la réinitialisation réactive de son mot de passe risque de le mettre en colère, même si c'est une bonne pratique de s'assurer que lui seul connaît son mot de passe. S'il s'agit d'informations extrêmement sensibles, c'est un must. Sinon, je pense qu'avoir une sorte d'enregistrement avant de prendre un appel pourrait aider - "Votre appel peut être enregistré à des fins d'assurance qualité. N'oubliez pas de ne jamais révéler votre mot de passe à quiconque - y compris le Help Desk".

- @ Jake

Je voulais juste ajouter cela aux autres options ici (qui sont bonnes.)

Je ne sais pas quel type de système téléphonique vous utilisez, mais en plus de ceux suggérés ci-dessus, serait-il possible qu'un court message audio automatisé soit lu à l'utilisateur appelant pour l'informer de ne pas partager son mot de passe avec représentants de service et tout ça? Ce message automatisé pourrait à la fois éduquer les utilisateurs avant qu'ils n'atteignent les représentants, et empêcher tout représentant malveillant de demander des mots de passe (pas sûr de l'ampleur du problème.)

Un autre venant du champ gauche, essayant d'arrêter la fuite, plutôt que de nettoyer le sol.

Si votre mot de passe contient des lettres et chiffres, nous rencontrons souvent de nombreux problèmes avec les polices non monotypes. '1' 'i' 'l' a également la même apparence '0' 'O'. Alors peut-être utiliser une image, ou forcer le navigateur à utiliser un monotype, lors de l'affichage de son pass?

Ou obtenez votre algorithme de passe pour ne pas utiliser l'une des options ci-dessus.

Habituellement, c'est un symptôme de mauvaise communication, procédures, organisation, politiques et stratégies de l'entreprise envers le client.

Pour certains de mes comptes bancaires, même je ne peux pas comprendre ce que la `` lettre '' ou `` e-mail '' contient entre le code PIN, la phrase de sécurité, le numéro de sécurité, le mot de passe, l'ID client, le nom de connexion, le nom de connexion, l'adresse e-mail, l'e-mail adresse et une autre adresse e-mail, qui sont parfois différentes et parfois non. (notez les doublons!). Ensuite, il y a les deux cartes d'identité et les codes à suivre.

Par exemple. mon FAI m'a obligé à entrer une adresse e-mail pour créer un compte pour obtenir leur service qui a fourni une adresse e-mail [voir (1)], puis mon ID de téléphone ADSL était également "une adresse e-mail". Alors avec qui dois-je me connecter - les deux en fonction de la page Web!

Pas étonnant que les gens soient confus et que la sécurité soit compromise par tous ces "régimes" censés améliorer la sécurité.

Ensuite, j'essaie d'aider mes beaux-parents âgés (87 et 90) avec des problèmes de prothèse auditive, etc.

Il s'agit de la gestion des risques et des conséquences (en fait ce sont les dangers, les probabilités, ...).

Assurez-vous que le service des communications améliore le format et la présentation de ces e-mails, et qu'ils ne peuvent pas être confondus avec tout autre élément de sondage similaire (c'est-à-dire en supprimer un, donc il n'y a AUCUN élément de sondage similaire!)

Je pense qu'il est préférable d'avoir un message automatisé via IVR leur disant explicitement que-

Pour des raisons de sécurité, veuillez ne jamais fournir vos mots de passe à nos représentants du service d'assistance ...

avant même qu'ils ne parlent à votre équipe d'assistance.

J'espère que ça aide! :)

Les gens ont l'habitude de faire confiance aux gens qu'ils demandent de l'aide, sinon ils ne leur demanderaient pas ... Médecins, thérapeutes, réparation automobile, entretien ménager, etc. Par exemple, hier, j'ai amené ma voiture au magasin pour une réparation. Ce serait absurde s'ils disaient: "Ne donnez en aucun cas la clé de votre voiture à aucun de nos employés (ou à toute autre personne)!" À l'intérieur de ma voiture se trouvaient les documents habituels qui indiquent mon nom et mon adresse (papier d'immatriculation de la voiture, documentation d'assurance) et j'ai également une clé de mon appartement cachée à l'intérieur de la voiture (au cas où je m'enfermerais d'une manière ou d'une autre et qu'il y a un clé de voiture de rechange dans mon portefeuille). Il est possible que de mauvaises personnes travaillent dans l'atelier automobile, mais peu probable.

Mais dans tous les cas, personne ne peut "pirater" mon appartement ou voler ma voiture sans être ici, donc je n'ai pas à me soucier de faire confiance à 99,9999% de la population mondiale. Si je perds ma clé de voiture en Nouvelle-Zélande, ce ne sera pas un problème. Si quelqu'un en Roumanie obtient une copie de la clé de mon appartement, toujours aucun problème. Donc, le fait est que le monde électronique est juste différent .

Je pense que la solution est de le rendre plus proche du monde réel: personne ne vivant en dehors de ma ville natale ne devrait pouvoir accéder à mon compte bancaire à distance. Si j'ai acheté du gaz à la maison à l'aide de ma carte de crédit et que quelqu'un essaie de l'utiliser à une distance de 2 000 miles une heure plus tard, cela devrait échouer. (Et, il l'a fait une fois. Bravo à ma coopérative de crédit pour avoir automatiquement fait ce qui était le mieux pour moi sans que je ne demande ni ne paie pour ça!)

Vous ne pouvez pas expliquer aux gens ou empêcher des hypothèses basées sur un monde de confiance vérifiable si le monde que vous "vendez" n'a pas de tels avantages. Changez le monde que vous vendez aux gens. Faites un mot de passe qui a été volé aussi inutile que ma clé de voiture se trouve en Nouvelle-Zélande. La technologie doit fonctionner pour les personnes , pas l'inverse. SI les choses que vous créez ne sont pas sécurisées, travaillez plus fort. Nous avons considérablement amélioré la sécurité des avions, des voitures et de l'électricité, nous n'avons pas simplement dit: "Oh, eh bien, plus d'éducation est nécessaire.

Je vous suggère de sauvegarder et de vous demander pourquoi les utilisateurs font cela en premier lieu. Ce qui me vient à l'esprit, c'est qu'ils ne peuvent pas se connecter et essaient de déterminer s'ils ont oublié leur mot de passe ou si quelque chose d'autre est faux - le compte est bloqué, ils ont le mauvais nom d'utilisateur, etc.

Votre problème est que l'utilisateur innocent essayant de résoudre son problème d'accès est mêlé à des tentatives malveillantes pour accéder aux comptes par l'ingénierie humaine de votre personnel de support. Malheureusement, il ne fonctionnera probablement pas de simplement demander à l'appelant qu'il est un vrai utilisateur ou un criminel.

Je n'ai pas de réponse pour vous - toute information que votre personnel est prêt à fournir ou à confirmer fait potentiellement partie d'une tentative d'accès par quelqu'un qui ne devrait pas.

Je travaille pour un service d'assistance et nous avons récemment lancé un service en ligne où nos membres peuvent se connecter.

Il est malheureux qu’un problème de conception lui fasse peur et que vous, aux premières lignes, deviez y faire face, alors que ce devraient être les architectes qui devraient avoir pour répondre aux commentaires fournis dans le présent AQ.

Je note deux choses (c'est moi qui souligne):

Un problème que nous rencontrons est que les utilisateurs qui nous appellent nous demandent souvent de confirmer que le mot de passe qui leur a été remis est correct. Ce faisant, ils divulguent leur mot de passe par téléphone. Comment éviter cela?

et:

Environ 90% de nos appelants sont des premiers appelants. Comme ils le font la première fois qu'ils appellent, il est difficile de les éduquer. Ce sont des retraités, donc ils ont généralement moins d'expérience des services authentifiés que l'utilisateur moyen d'un ordinateur.

Le problème ici n'est pas la conception du système de mot de passe, le problème est l'utilisation de mots de passe en premier lieu, par un public inadapté.

Si je concevais ce système, j'éviterais les mots de passe, ou autrement, je fournirais un autre moyen d'authentification approprié pour un public moins technique. Mes options préférées incluent:

• Mots de passe à usage unique à partir d'une clé RSA ou similaire (utilisé dans un système d'authentification à facteur unique),
• Certificats côté client à partir d'une carte à puce ou d'une carte à puce virtuelle (sécurisée avec un code PIN) ou à partir d'un dongle USB sécurisé
• "Picture Passwords" (une série de clics/tapotements sur une grande image), d'un point de vue infosec, c'est la même chose qu'un mot de passe et il est plausible qu'il soit moins sécurisé si la séquence de points de clic est évidente, mais cela rend il est plus difficile à oublier et ne se prête pas facilement au partage par téléphone.
• Utilisez PII (informations personnellement identifiables) comme mot de passe. Aux États-Unis, son numéro de sécurité sociale sert souvent à cet endroit, car (généralement) tout le monde sait qu'il doit être gardé secret, mais les gens semblent d'accord avec les sites Web de leurs banques qui le demandent pour confirmer leur identité - peut-être un analogue moins critique pourrait être utilisé, comme une date de naissance et un nom de rue actuel, bien que ceux-ci ne soient guère secrets, si le système utilise des ID utilisateur numériques ou attribués de manière aléatoire (par opposition aux adresses e-mail ou aux noms d'utilisateur en texte libre), ce serait tout aussi sûr que un mot de passe, à condition que les utilisateurs ne divulguent pas leur identifiant.