¿Cómo decirle a los usuarios que no deben revelar su contraseña por teléfono a nuestra mesa de ayuda?

Asegúrese de que haya un método para que los usuarios restablezcan sus propias contraseñas y establezca una política mediante la cual el servicio de asistencia inicie un restablecimiento de la contraseña si se les revela una contraseña.

Los usuarios tenderán a telefonear cuando no pueden iniciar sesión y, por lo tanto, activan el mismo proceso de restablecimiento de la contraseña, ya que pueden hacer que aprendan lentamente que no ayuda a telefonear.

Lamentablemente, algunos usuarios siempre lo harán, pero puede agregar algo de audio al mensaje de introducción y retener la música, reiterando que los usuarios no deben proporcionar contraseñas por teléfono.

En pocas palabras, no hay forma de aplastar esto por completo. Sin embargo, existen políticas y procedimientos que puede implementar para reducirlo:

• Envíe mensajes de Concientización sobre la seguridad (independiente o pie de página a otros mensajes) reiterando que las contraseñas son privadas y que nunca deben ser entregadas a nadie.
• Capacite al personal de Helpdesk para que corte a los clientes antes de que puedan dar su contraseña.
• Implemente una política según la cual si un cliente entrega una contraseña al servicio de asistencia, esa contraseña debe restablecerse de inmediato.
• Asegúrese de que las secciones de autoservicio sean prominentes y estén bien publicitadas (para restablecimientos / recuperaciones de contraseñas).

La mayoría de estos vienen con un costo de servicio asociado (inconveniente, generalmente, y papeleo adicional), que debe considerarse antes de la implementación, pero esa es la dirección general.

Creo que, además del restablecimiento inmediato de la contraseña, podría ser apropiado recordar a los usuarios los términos del servicio ( términos de servicio de muestra ).

  

Usted es el único usuario autorizado de su cuenta. Usted es responsable de mantener la confidencialidad de cualquier contraseña proporcionada por Usted o Zimride para acceder al Servicio. Usted es el único y totalmente responsable de todas las actividades que se realicen bajo Su contraseña o cuenta. Zimride no tiene control sobre el uso de la cuenta de ningún Usuario y niega expresamente cualquier responsabilidad derivada de la misma. Si sospecha que una parte no autorizada puede estar usando su contraseña o cuenta o si sospecha de cualquier otra violación de la seguridad, se comunicará con nosotros de inmediato.

Dígale al usuario que ha violado los términos del servicio al revelar la contraseña y que está restableciendo la contraseña para volver a cumplirlos.

También depende de qué tipo de servicio está brindando. Para mí, personalmente, si no agrego ningún valor monetario a mi cuenta, entonces es probable que no me importe mucho los términos del servicio. Por otro lado, si estoy preguntando por mi cuenta de jubilación y está implícito que las infracciones frecuentes de los términos de servicio pueden usarse como evidencia para eximir a la empresa de responsabilidad financiera en caso de una violación de seguridad, definitivamente prestaré atención.

Por ejemplo, algunos hackers roban mi dinero usando una brecha de seguridad no relacionada, pero la compañía no quiere hacer nada, por lo que usan las revelaciones de mi contraseña como evidencia de mi descuido.

Tengo un proceso simple que enseñó a los usuarios con bastante rapidez a no darnos sus contraseñas. Si un usuario le dice que su contraseña hace lo mismo que usted haría si supiera que el usuario le dijo la contraseña a otra persona, obligue a establecer una nueva contraseña. Finalice la llamada / interacción y luego informe al usuario que, por seguridad, necesita restablecer su contraseña, recuerde que nunca debe decirle a nadie (incluido su gerente o personal de TI) su contraseña y, si es que lo hacen, informarlo de inmediato para que pueda hacerlo. reinicialo.

Podrías haber preguntado esto en UIX.StackExchange - aquí nadie parece preguntarse "¿Por qué te están diciendo su contraseña?". Creo que tratar de educar a las personas con mensajes de audio o advertencias no va a cortar el trato. La mayoría de las personas saben que no deben decir su contraseña a nadie sin una buena razón.

Si tanta gente llama a tu soporte para afirmar "P4ssW0rd es mi contraseña, ¿verdad?" Parece que su interfaz de usuario los deja sin idea si esa es realmente su contraseña. Esto podría tener varias razones: si tiene clientes antiguos, podría ser que olviden su contraseña, pero las personas que saben que no pueden recordar fácilmente las cosas, por lo general, la escribirían.

Tal vez tengan problemas para iniciar sesión y obtengan el mensaje habitual de "Ha ingresado un nombre de usuario o contraseña incorrectos": es natural preguntar si el nombre de usuario o la contraseña que ingresó fueron incorrectos. Tal vez reciban el mismo mensaje si su cuenta está bloqueada? O tal vez obtienen su primera contraseña por correo y no se "parece" a una contraseña. O la aplicación no lo hace lo suficientemente simple como para saber cuál es su contraseña.

Debe preguntar a los usuarios por qué necesitan aclarar su contraseña y probablemente encontrará una razón para comunicarse con el usuario / en la interfaz de usuario, lo que hace que muchas personas sientan la necesidad de aclarar su contraseña por teléfono.

Actualice con una nueva propuesta de solución:

¿Qué sucede si comenzó cada conversación al pedirle a un cliente la respuesta a alguna frase de contraseña que solo él o ella deberían saber? Una opción similar ha sido utilizada como una medida adicional durante mucho tiempo en una empresa para la que solía trabajar, donde la seguridad es relativamente alta, y tengo la corazonada de que puede ayudar a evitar problemas como el suyo.

La forma en que funciona es la siguiente: cuando un cliente llama y le da su nombre, busca su información, incluido un conjunto de preguntas y respuestas de texto sin formato. Ahora, pídales inmediatamente que verifiquen su identidad respondiendo a la pregunta que les leyó.

¿Qué lograría esto?
Dos cosas, espero : En primer lugar, debería mejorar su seguridad, aunque solo sea marginalmente. La información puede almacenarse en texto sin formato, y todos los que trabajan en la mesa de ayuda tienen acceso, y es probable que muchas de las respuestas sean fáciles de adivinar, especialmente si un atacante investigó un poco antes de llamarle. Aun así, esto debería hacer que sea un poco más difícil suplantar a uno de sus clientes por teléfono sin provocar sospechas.

En segundo lugar, y lo que es más importante para su problema en particular, esto debería dejarle claro a la persona que llama que de hecho lo ha identificado, y que está mirando los datos de sus clientes en este momento. La idea aquí es que en realidad permita que su cliente sea útil . Es decir, después de todo, probablemente por eso están tan ansiosos por darle sus contraseñas, ¿no?

En esencia, les proporcionará una forma sencilla de identificarse sin revelar la información más confidencial que es su contraseña personal.

Mi respuesta anterior:

Puede y debe seguir intentando educar a sus usuarios sobre temas como este, pero siempre habrá usuarios que ignoren esto o que no lo tomen en serio. Cuando eso suceda, asegúrate de informarles a tus usuarios una vez más sobre esto, y diles que tienes una política de que les exige que restablezcan su contraseña ahora que se ha revelado .

Si este es un problema recurrente, es posible que también desee investigar por qué sucede esto. ¿Las personas en su mesa de ayuda realmente requieren acceso a las cuentas de los clientes, aunque solo sea por un período corto para ayudarlos? ¿Quizás pueda encontrar alguna solución donde se dé acceso temporal con una contraseña temporal? Si esto incluye una solución anunciada, le será más fácil ayudar a sus usuarios, aunque también es obvio para ellos que puede obtener acceso a sin tener que proporcionarles sus contraseñas, entonces tal vez no se sientan cómodos. ¿La necesidad de "ayudarte" a acceder a sus cuentas?

Obviamente, esto requeriría un registro cada vez que un empleado acceda a la cuenta de un usuario, preferiblemente con una breve descripción de por qué, y qué se hizo, etc., junto con una política estricta sobre confidencialidad y pautas sobre lo que los empleados pueden y no pueden hacer. , etc.

Solo quería poner esto en la parte superior de las otras opciones aquí (que son buenas).

No estoy seguro de qué tipo de sistema telefónico está utilizando, pero además de los sugeridos anteriormente, ¿es posible que se reproduzca un breve mensaje de audio automatizado al usuario que llama para informarle que no comparta su contraseña con cualquier representante de servicio y todo eso? Este mensaje automatizado podría educar a los usuarios antes de que lleguen a los representantes, así como evitar que cualquier representante malintencionado solicite contraseñas (no estoy seguro de qué problema existe).

Estoy publicando este comentario como respuesta, ya que creo que es una muy buena respuesta a la pregunta

  

Personalmente, si alguien ya no sabe que no debe decir   El servicio de asistencia su contraseña, luego restablece reactivamente su contraseña   lo más probable es que los haga enojar, incluso si es una buena práctica   Asegúrese de que solo ellos conozcan su contraseña. Si es extremadamente sensible   información, es una necesidad. De lo contrario, creo que tener algún tipo de   grabar antes de que se retire una llamada podría ayudar - "Su llamada puede ser   grabado con fines de aseguramiento de la calidad. Recuerda nunca revelar tu   contraseña para cualquier persona, incluido el servicio de asistencia ".

- @Jake

Otro que viene del campo izquierdo, tratando de detener la fuga, en lugar de limpiar el piso.

Si su contraseña contiene números de letras y , a menudo tenemos muchos problemas con las fuentes que no son monotipos. '1' 'i' 'l' se ve igual '0' 'O' también. Entonces, ¿quizás usar una imagen, o forzar al navegador a usar un monotipo, al mostrar su pase?

O haga que su algoritmo de pase no use ninguno de los anteriores.

Por lo general, es un síntoma de comunicación, procedimientos, organización, políticas y estrategias deficientes de la empresa para con el cliente.

Para algunas de mis cuentas bancarias, incluso no puedo entender en qué se encuentra la "letra" o el "correo electrónico" entre el PIN, la frase de seguridad, el número de seguridad, la contraseña, la identificación del cliente, el nombre de inicio de sesión, el nombre de inicio de sesión, el correo electrónico Dirección, dirección de correo electrónico y otra dirección de correo electrónico, todas a veces diferentes y otras no. (note los duplicados!). Luego están las dos tarjetas de identificación de factores y los códigos a seguir ...

Por ejemplo, mi ISP me solicitó que ingresara una dirección de correo electrónico para crear una cuenta para obtener el servicio que proporcionaba una dirección de correo electrónico [ver (1)], y luego mi ID de ADSL de teléfono también era "una dirección de correo electrónico". Entonces, ¿con qué me conecto? ¡Dependiendo de la página web!

No es de extrañar que la gente esté confundida y la seguridad se vea comprometida por todos esos supuestos 'esquemas' que mejoran la seguridad.

Luego trato de ayudar a mis suegros mayores (87 & 90) con dificultades con audífonos, etc.

Se trata de la gestión de riesgos y consecuencias (en realidad se trata de Riesgos, Probabilidades, ...).

Asegúrese de que el departamento de comunicaciones mejore el formato y el diseño de esos correos electrónicos, y que no puedan confundirse con ningún otro elemento de sonido similar (es decir, eliminar uno, ¡así que NO hay elementos de sonido similar!)

Creo que es mejor tener un mensaje automatizado a través de IVR que les diga explícitamente que-

  

Por razones de seguridad, nunca proporcione sus contraseñas a nuestra Ayuda.   Representantes de escritorio ...

antes de que incluso hablen con tu equipo de soporte.

Espero que ayude! :)

Le sugiero que realice una copia de seguridad y se pregunte por qué los usuarios están haciendo esto en primer lugar. Lo que se me ocurre es que no pueden iniciar sesión y están tratando de determinar si olvidaron su contraseña o si alguna otra cosa es incorrecta: la cuenta está bloqueada, tienen el nombre de usuario incorrecto, etc.

Su problema es que el usuario inocente que intenta solucionar su problema de acceso está mezclado con intentos maliciosos de acceso a cuentas por parte de ingenieros humanos a su personal de soporte. Desafortunadamente, probablemente no funcione solo para preguntar a la persona que llama es un usuario real o un criminal.

No tengo ninguna respuesta para usted: cualquier información que su personal esté dispuesto a proporcionar o confirmar es potencialmente parte de un intento de obtener acceso de alguien que no debería.

Las personas están acostumbradas a confiar en las personas que piden ayuda, de lo contrario no les pedirían ... Médicos, terapeutas, reparación de automóviles, servicio de electrodomésticos, etc. Por ejemplo, ayer llevé mi auto a la tienda para comprar una reparacion Sería absurdo si dijeran: "¡NO le dé a nadie de nuestro personal (ni a ninguna otra persona) la llave de su automóvil bajo ninguna circunstancia!" Dentro de mi automóvil se encontraban los documentos habituales que muestran mi nombre y dirección (papel de registro del automóvil, documentación del seguro) y también tengo una llave de mi apartamento escondida dentro del automóvil (en caso de que alguna vez me cierre la puerta de alguna manera, y hay una Llave de repuesto de coche en mi billetera). Es posible que personas malas trabajen en la tienda de autos, pero es poco probable.

Pero en cualquier caso, nadie puede "piratear" mi apartamento o robarme mi auto sin estar realmente aquí, así que no tengo que preocuparme por confiar en el 99.9999% de la gente del mundo. Si pierdo la llave de mi auto en Nueva Zelanda, no será un problema. Si alguien en Rumania recibe una copia de la llave de mi apartamento, todavía no hay problema. Entonces, el punto es que el mundo electrónico es simplemente diferente .

Creo que la solución es hacerlo más como el mundo real: nadie que viva fuera de mi ciudad natal debería poder acceder a mi cuenta bancaria de forma remota. Si compré gasolina en casa con mi tarjeta de crédito y alguien intenta usarla a 2000 millas de distancia una hora más tarde, debería fallar. (Y lo hizo una vez. ¡Bravo a mi Cooperativa de Crédito por hacer automáticamente lo mejor para mí sin que yo haya pedido o tenga que pagar por eso!)

No puede explicar a las personas ni evitar suposiciones basadas en un mundo de confianza verificable si el mundo que está "vendiendo" no tiene tales beneficios. Cambia el mundo que le vendes a la gente. Cree una contraseña que haya sido robada tan inútil como la llave de mi auto en Nueva Zelanda. La tecnología tiene que funcionar para personas , no al revés. Si las cosas que creas no son seguras, trabaja más duro. Hemos mejorado dramáticamente la seguridad de los aviones, los automóviles y la electricidad, no solo dijimos, Oh, bueno, se necesita más educación.

  

Trabajo para un servicio de asistencia, y recientemente lanzamos un servicio en línea donde nuestros miembros pueden iniciar sesión.

Es desafortunado que un problema de diseño sobresalga y usted, en el frente, tenga que lidiar con él, cuando deberían ser los arquitectos quienes deberían responder a los comentarios proporcionados en este documento. QA.

Observo dos cosas (énfasis mío):

  

Un problema que tenemos es que los usuarios que nos llaman a menudo nos piden que confirmemos que la contraseña que se les entrega es correcta. Al hacerlo, revelan su contraseña por teléfono. ¿Cómo podemos prevenir esto?

y:

  

Alrededor del 90% de nuestras personas que llaman son personas que llaman por primera vez. Como lo hacen la primera vez que llaman, es difícil educarlos. Son jubilados , por lo que generalmente tienen menos experiencia en servicios autenticados que el usuario promedio de computadoras.

El problema aquí no es el diseño del sistema de contraseña, el problema es el uso de contraseñas en primer lugar, por una audiencia inadecuada.

Si estuviera diseñando este sistema, evitaría las contraseñas o, de lo contrario, proporcionaría un medio alternativo de autenticación adecuado para una audiencia menos técnica. Mis opciones preferidas incluyen:

• Contraseñas de una sola vez de una clave RSA o similar (utilizadas en un sistema de autenticación de un solo factor),
• Certificados del lado del cliente de una tarjeta inteligente o de una tarjeta virtual (asegurada con un PIN) o de un dispositivo USB seguro
• "Contraseñas de imágenes" (una serie de clics / taps en una imagen grande), desde una perspectiva infosec, esto es lo mismo que una contraseña y es plausible que sea menos seguro si la secuencia de puntos de clic es obvia. pero hace que sea más difícil de olvidar, y no se presta fácilmente a ser compartido por teléfono.
• Use PII (información personal identificable) como contraseña. En los EE. UU., El número de seguridad social de una persona sirve a menudo en este lugar, ya que (en general) todos saben que debe mantenerse en secreto, pero la gente parece estar de acuerdo con los sitios web de sus bancos que solicitan que confirmen su identidad; podría usarse, como la fecha de nacimiento y el nombre actual de la calle, aunque estos no son secretos, si el sistema utiliza identificadores de usuario numéricos o asignados al azar (en lugar de direcciones de correo electrónico o nombres de usuario de texto libre), esto sería tan seguro como una contraseña, siempre que los usuarios no filtren sus ID de usuario.

El riesgo aquí parece estar más en el lado de los técnicos de la mesa de ayuda que reciben información sobre la contraseña. Si no puede confiar en que no abusen del conocimiento, tiene un problema que solucionar.

Lograr que los usuarios dejen de dar su contraseña es una cuestión de educarlos. Eso debería suceder cuando sea necesario cuando ocurra.

Si un usuario le da una contraseña a una persona de la mesa de ayuda, debe existir un proceso para bloquear esa contraseña y forzarla a crear una nueva. Una vez más, debe confiar en la persona de la mesa de ayuda para iniciar esto, pero es por eso que los examinará antes de ser contratado.