我们遇到的一个问题是,打电话给我们的用户经常要求我们确认输入的密码对他们来说是正确的。这样,他们通过电话公开密码。
注册邮件中提到他们不得透露密码,并且只要我们感到他们打算向我们透露密码,我们都会提及。 >
关于用户:我们的呼叫者中约有90%是首次呼叫者。由于他们是第一次打电话,所以很难对他们进行教育。他们是退休人员,因此与一般计算机用户相比,他们通常没有经过身份验证的服务的经验。
#1 楼
确保有一种方法可以让用户重设自己的密码,并制定政策,以便在向用户透露密码时帮助台启动重设密码。用户倾向于在可能的时候打电话给他们。无法登录,因此触发了与他们自己相同的密码重置过程,这导致他们慢慢了解到打电话无益。
评论
我不确定学习部分是否有意义,随着时间的推移,您的用户群将被新用户刷新。如果前100个得知呼叫没有用,则并不意味着下100个会更快地理解这一点。
–凯文
16年1月11日在14:07
对用户进行教育将很困难,因为在90%的情况下,这些都是首次呼叫者,而且大多数人从未使用计算机来检查电子邮件。
–特里
16年1月11日在14:20
就个人而言,如果某人已经不知道自己不应该告诉服务台他们的密码,那么被动地重置其密码很可能使他们生气-即使确保只知道他们的密码是一种好习惯。如果它是极其敏感的信息,那是必须的。否则,我认为在接听电话之前进行某种录音可能会有所帮助-“您的通话可能出于质量保证目的而被录音。切记不要向任何人(包括服务台)透露密码。”
–杰克
16年1月11日在15:49
@杰克我完全同意这个答案。但是,我认为对消息的措词稍有不同是明智的。坦率地说“不要告诉服务台您的密码”会给一些技术能力有限的客户带来极大的不信任,而这并不是您想要的。
–路加公园
16年1月11日在22:09
@卢克·帕克:标准的措辞通常是“我们的代表永远不会要求您输入密码”。人们寄希望于此,这意味着不应该在不产生不信任感的情况下告诉他们密码。
– Lie Ryan
16年1月12日,11:48
#2 楼
不幸的是,有些用户会一直这样做,但是您可以在介绍消息中添加一些音频并保留音乐,重申用户不要通过电话提供密码。评论
目前,我们根本没有任何音频,只能接听。我想应该真的实现。
–特里
16年1月11日,12:32
那么当您接听电话时,也许应该在约定的短语上打招呼:“您好,欢迎偷偷摸摸的转播,提醒您,永远不要向我透露密码,我叫特里,今天我将为您提供帮助”
–隐藏
16年1月11日,12:44
如果您没有给呼叫者的介绍性录制消息,则可以培训您的员工在接听电话时说些适当的话: “您好,Acme窗口小部件,我们永远不需要,不需要或不知道您的密码-我能为您提供什么帮助”。笨拙但与员工集思广益可能会使他们感到满意。
– RedGrittyBrick
16 Jan 12'在18:28
@silverpenguin对于服务台人员来说,这样说是毫无意义的,因为如果他们做的不好,他们根本不会发出警告!这个问题的全部要点是您不信任服务台人员,否则这将不是问题。
–詹姆斯·瑞安(JamesRyan)
16年1月14日在14:40
@Terry如果您没有任何自动保留音乐/消息的功能,那就太好了!真正地,保持它。对于这个特殊的问题没有帮助,但是我只是想说好工作。每个人都讨厌自动消息,没有自动消息给客户服务带来的好处通常非常高。
–马克·亨德森(Mark Henderson)
16年1月14日在20:17
#3 楼
简而言之,没有办法完全解决这个问题。但是,您可以采取一些策略和步骤来减少它:发出安全意识消息(独立消息或其他消息的页脚),重申密码是私有的,永远不应分发给任何人。
培训服务台员工以切断客户,然后再提供密码。
实施一项政策,如果客户向服务台提供密码,则必须立即重设该密码。
请确保自助服务栏目突出并得到良好的广告宣传(以进行密码重置/恢复)。
大多数此类服务都伴随着相关的服务成本(通常为您带来不便,并增加了书面工作) ),这应该在实施之前考虑,但这是总的方向。
评论
到目前为止,“如果客户将密码提供给服务台,则必须立即重设该密码”是迄今为止最好的声明。
–莫格说要恢复莫妮卡
16年1月12日在8:16
我们已经将他们的密码设置为在这种情况下过期。
–特里
16年1月12日在12:00
@Mawg并非如此-a)服务台人员值得信赖,在这种情况下不会自己滥用帐户-不会造成任何伤害。或b)服务台人员不可靠,不会重设密码,并且会滥用帐户。让服务台工作人员重置它并不能解决此处的安全性问题。主要的安全问题是他们告诉别人自己的密码,并可能告诉别人。对用户进行教育是唯一明智的做法。
– gbjbaanb
16年1月13日在10:31
@gbjbaanb这不是解决服务台中不信任问题的措施,而是一种将用户的密码分配与危害联系在一起的措施。您只能控制帮助台过程,但是会使传递的凭据无效,并帮助客户了解发放密码会导致密码错误。
–约瑟夫·伍兹(Jozef Woods)
16年1月13日在10:48
@JozefWoods完全是-帮助客户理解是重要因素。重置密码是无关紧要的(尽管通常是明智的过程,OP表示在这种情况下会适得其反)
– gbjbaanb
16年1月13日在11:53
#4 楼
我认为,除了立即重置密码之外,还应该提醒用户服务条款(服务条款示例)。您是帐户的唯一授权用户。您有责任维护您或Zimride提供的用于访问服务的任何密码的机密性。您对使用密码或帐户进行的所有活动承担全部责任。 Zimride无法控制任何用户帐户的使用,并明确声明不承担由此产生的任何责任。如果您怀疑任何未经授权的一方可能正在使用您的密码或帐户,或者您怀疑任何其他违反安全性的行为,则应立即与我们联系。
告诉用户他们已违反条款公开密码并重新设置密码以使其恢复合规性。
这还取决于您提供的服务类型。就我个人而言,如果我的帐户没有任何货币价值,那么我不太会在意服务条款。另一方面,如果我要问我的退休帐户,并且暗示在违反安全性的情况下,经常违反服务条款的行为可以作为使公司免于承担财务责任的证据,我一定会注意的。
例如,一些黑客使用不相关的安全漏洞窃取了我的钱,但该公司不想再赚钱,因此他们将我的密码泄露用作我粗心的证据。
评论
告诉用户他们违反了某些规定,实际上并不会吸引您。没有人喜欢被告知他们做错了什么,然后通过重置密码来打他们的手。这样做只会导致客户满意度降低,他们可能会去其他地方。
– Steve Sether
16年1月11日在16:34
@SteveSether我认为你是对的。这是一个敏感区域。如果银行打算将密码披露用作密码粗心的证据,以免承担责任,则银行应警告客户。对于习惯于密码粗心的客户,强制使用2FA可能会更好。
–emory
16年1月11日在16:51
要解决@SteveSether的问题:与其说“它们”违反了某些内容,不如说“根据我们的安全策略,只有您应该知道您的密码,所以现在我知道了,我需要重置它。很抱歉给您带来的不便,但我们必须保护您的帐户免遭未经授权的访问”。
– Monty Harder
16年1月11日在17:40
@MontyHarder用这样的措辞会更有趣:“现在我知道您的密码和用户名,我打算回家并登录到您的帐户。您想重设密码以使我无法进入吗?” -但我认为他们不会像我一样有趣,关于破坏对公司员工的信任的做法通常并不能使每个人都受益。
– DoubleDouble
16年1月11日在19:33
#5 楼
我有一个简单的过程,可以很快地教会用户不要给我们密码。如果用户告诉您他们的密码与您知道用户告诉其他人的密码相同,请强制他们设置新密码。完成通话/互动,然后通知用户,为了安全起见,您现在需要重设密码,切记切勿告诉任何人(包括其经理或IT员工)他们的密码,以及他们是否曾经立即告知IT人员,以便您可以重置它。#6 楼
您可能已经在UIX.StackExchange上提出了此问题-似乎没有人问“为什么他们告诉您密码?”这个问题。我认为尝试用语音消息或警告来教育人们不会成功。大多数人知道,如果没有充分的理由,他们不应该告诉任何人密码。如果有那么多人打电话给您的支持以断言“ P4ssW0rd是我的密码,对吗?”如果这确实是他们的密码,则您的用户界面似乎使他们毫无头绪。这可能有多种原因-如果您有老客户,很可能是他们忘记了密码,但是知道自己不容易记住的人通常会写下来。
也许他们在登录时遇到问题并收到通常的“您输入了错误的用户名或密码”消息-很自然地会向支持人员询问您输入的用户名或密码是否错误。如果他们的帐户被锁定,也许他们会收到相同的消息?或者,也许他们通过邮件获得了他们的第一个密码,但它看起来并不像密码。否则应用程序无法简单地知道您的密码。
您应该问用户为什么需要澄清密码,并且可能会找到与用户/ in通信的原因。用户界面使许多人感到需要通过电话澄清密码。
评论
该界面实际上非常简单。他们输入电子邮件地址,选择密码,然后选择一个秘密问题。然后,他们会收到一个激活链接,以确认其用户名和登录链接。似乎他们忘记了设置密码后不久的密码。正如我前面提到的,退休金领取者很少。
–特里
16年1月12日,11:58
您可以清楚地说明注册情况:“您需要输入密码和名称才能登录,请仔细记住。”在登录表单上,您可以提供带有更好消息的链接,例如“无法访问网站/不确定如何操作”。登录?并给他们一个简单的图片处理过程,以重置帐户。 -您也可以在电子邮件中发送激活链接,该链接将自动登录。
– Falco
16年1月12日在12:17
简化,简化,简化。 @Falco的观点都很出色。不管您如何解决从一开始就防止打扰您的信息泄漏,它都必须源自某种形式的缺陷或烦恼。最好的办法就是找出原因。不知道原因,您将不知道要重新设计什么。
– Steve Dodier-Lazaro
16年1月14日在20:54
#7 楼
更新并提出新的解决方案建议:如果您通过询问客户某个仅他或她应该知道的通行短语的答案来开始每次对话该怎么办?在我曾经工作的一家公司中,很长时间以来,类似的选项已被用作一种额外的措施,该公司的安全性相对较高,并且我有预感,这可能会帮助您避免像您这样的问题。
其工作方式如下:当客户打电话并给出他或她的名字时,您会查询他们的信息,包括纯文本问题和答案集。现在,请他们回答问题,立即要求他们核实身份,并阅读给他们。
这将实现什么?
,我希望有两件事:首先,它应该提高您的安全性,即使只是微不足道的。信息可能以纯文本格式存储,帮助台上的每个人都可以访问,并且很可能会轻易猜出许多答案,特别是如果攻击者在打电话给您之前做了一些研究之后。即使这样,这仍然会使在电话上模拟一位客户而不引起任何怀疑变得更加困难。
其次,更重要的是对于您的特定问题,这应该使呼叫者清楚地知道您实际上已经识别出他们,并且正在查看他们的客户数据。这里的想法是您实际上允许您的客户有所帮助。毕竟,这也许就是为什么他们如此急于向您提供密码的原因了吗?
本质上,您将向他们提供一种简单的方法来识别自己的身份,而无需透露更敏感的内容信息,即他们的个人密码。
我以前的回答:
您可以并且应该继续尝试对用户进行此类问题的教育,但是总会有一些用户对此一无所知,或者不认真对待。每当发生这种情况时,请确保再次礼貌地告知您的用户,并告诉他们您有一项政策,要求他们在密码泄露后立即重置密码。
如果这是一个反复出现的问题,您可能还想研究为什么会发生这种情况。服务台人员实际上是否需要访问客户帐户,即使只是很短的时间就可以帮助他们?也许您可以找到一些使用临时密码进行临时访问的解决方案?如果这包括一个宣传的解决方案,使您可以轻松地帮助用户,同时对他们而言显而易见的是,您无需他们向您提供密码即可访问,那么也许他们将不需要“帮助”您
显然,这需要在员工每次访问用户帐户时进行日志记录,最好是简短说明原因,进行的操作等,以及关于机密性和安全性的严格政策有关员工可以做什么和不能做什么的准则
评论
gh,不。我们现在是否还没有了解到““安全问题””只不过是潜在的破坏性剧院?
–黑光闪耀
16年1月13日在15:51
我明白您的意思,但这取决于您如何使用它们。我将其与更敏感的个人密码概念区分开来。在这里,对服务台员工进行良好的培训至关重要:仅因为您应用了此简单的测试就可以稍微提高模仿的标准,但这并不意味着您也不能说:“对不起,我不能从您的个人信息中透露个人信息帐户或通过电话更改您的帐户详细信息,但是如果您愿意,我可以为您重置密码,以便您自己进行操作。新密码将发送到注册到您帐户的电子邮件中。”
– Kjartan
16 Jan 14'5:28
这取决于您如何使用它们?一点也不怎么样?其余的都很好:可以通过电子邮件将密码重置链接发送到已归档的地址,仅此而已。大多数网站也这样做。如果一切都是这样,那么情况就不会那么糟了。当您对私家侦探可能会发现的问题做出正确答复时提供密码重置时,或者当您让任何人致电并更改帐户信息(然后回叫并使用更改后的信息来访问帐户)时,您就会遇到严重的问题。 。
–黑光闪耀
16年1月16日在3:40
我专门说过,不应提供或更改任何信息,所以我不确定您在这里得到什么。让任何人在呼叫台重设密码,无非是任何随机人都可以通过单击网站上的相关链接来进行。
– Kjartan
16年1月21日在8:12
#8 楼
我只是想将其放在此处的其他选项之上(很好)。我不确定您使用的是哪种电话系统,但除了建议的那些之外上面,是否有可能向用户播放一条简短的自动音频消息,通知用户不要与任何服务代表等共享密码?这种自动消息既可以在用户上手代表之前就对其进行教育,也可以防止任何恶意代表要求输入密码(不确定存在多少问题)。
#9 楼
我将此评论发布为答案,因为我认为这是对问题的很好回答就个人而言,如果有人已经意识到自己不应该告诉服务台
他们的密码,然后被动地重置他们的密码
,很可能使他们生气-即使最好的做法是
确保只有他们知道他们的密码。如果信息极其敏感
,这是必须的。否则,我认为在接听电话之前进行某种
录音可能会有所帮助-“出于质量保证的目的,可能会录制您的电话
。切记不要向任何人透露您的
密码-包括帮助台。“
-@ Jake
#10 楼
如果您的密码中包含字母和数字,那么非单色字体经常会遇到很多问题。 '1''i''l'的外观也都相同'0''O'。
那么当显示其通行证时,也许使用图片,或强制浏览器使用单型吗?
或者让您的通过算法不使用以上任何一项。
#11 楼
通常,这是公司与客户沟通,程序,组织,政策和策略不佳的征兆。对于我的某些银行帐户,即使我也不了解在密码,安全短语,安全号码,密码,客户ID,登录名之间使用“字母”或“电子邮件”的含义,登录名,电子邮件地址,电子邮件地址和另一个电子邮件地址,所有这些有时都不同,有时没有不同。 (请注意重复项!)。然后有两个因子ID卡和相应的代码。
例如我的ISP要求我输入一个电子邮件地址来创建一个帐户来获得他们的服务,该帐户提供了一个电子邮件地址[请参阅(1)],然后我的电话ADSL ID也是“电子邮件地址”。那么,我该使用哪一种登录方式-两者都取决于网页!
难怪人们感到困惑,并且所有那些所谓的增强安全性的“方案”都损害了安全性。
然后,我尝试帮助老年人的岳母(87岁和90岁)解决助听器困难等问题。 br />
确保通讯部门改善了这些电子邮件的格式和布局,并确保它们不会与任何其他类似的发音项混淆(例如,删除其中一个,因此没有类似的发音项!)
#12 楼
我认为最好是通过IVR发出一条自动消息,告诉他们-为了安全起见,请不要向我们的帮助台代表提供密码。
/>
,甚至在他们与您的支持团队交谈之前。
希望对您有所帮助! :)
#13 楼
我建议您备份并自问,为什么用户首先要这样做。对我来说,发生的事情是他们无法登录,并正在尝试确定是否忘记了密码或其他错误-帐户被阻止,用户名错误,等等。您的问题是,试图解决其访问问题的无辜用户与通过人工设计支持人员来获取帐户访问权限的恶意尝试混在一起。不幸的是,仅询问呼叫者他是真实用户还是犯罪分子可能就行不通了。
我没有任何答案-您的员工愿意提供任何信息提供或确认是不该尝试获取某人访问权限的潜在尝试。
#14 楼
人们习惯于信任他们寻求帮助的人,否则他们就不会向他们求助……医生,治疗师,汽车维修,家电服务等。例如,昨天我把我的汽车带到商店进行维修。如果他们说:“在任何情况下都不要将我们的任何员工(或任何其他人)交给您的车钥匙,那将是荒谬的!”在我的车内是通常的文件,这些文件显示了我的姓名和地址(汽车登记表,保险单据),我也将自己的公寓的钥匙也藏在车内(以防万一我将自己锁在外面,并且有一个我钱包里的备用车钥匙)。但是,在任何情况下,没有人可以“闯入”我的公寓或偷走我的汽车而没有实际在这里,所以我不不必担心信任全世界99.9999%的人。如果我将车钥匙放到新西兰,那不会有问题。如果罗马尼亚的某人获得了我的公寓钥匙的副本,仍然没有问题。因此,关键是电子世界与众不同。
我认为解决方案是使它更像现实世界:住在我家乡以外的任何人都不能远程访问我的银行帐户。如果我用信用卡在家中购买了汽油,而一个小时后有人试图在2000英里外使用它,那它就会失效。 (而且,它曾经这样做过。Bravo到我的信用合作社自动执行了对我而言最有利的事情,而无需我询问或不必为此付费!)
如果您“销售”的世界没有这种好处,您将无法向人们解释或阻止基于可验证信任世界的假设。改变您向人们推销的世界。设置一个我的车钥匙在新西兰时被盗的无用密码。技术必须为人们服务,而不是相反。如果您创建的东西不安全,请加倍努力。我们大大提高了飞机,汽车和电力的安全性,而不仅仅是说,哦,嗯,还需要更多的教育。
#15 楼
我在服务台工作,最近我们启动了一个在线服务,我们的会员可以登录。
很不幸,设计问题困扰着您,在第一线,必须处理它,而应该由建筑师来回答此质量保证中提供的反馈。
我注意到两件事(强调我的意思):
我们遇到的一个问题是,打电话给我们的用户经常要求我们确认输入给他们的密码是正确的。这样,他们通过电话公开密码。如何防止这种情况?
和:
我们的呼叫者中大约有90%是首次呼叫者。由于他们是第一次打电话,所以很难对其进行教育。他们是养老金领取者,因此与普通计算机用户相比,他们通常没有经过身份验证的服务的经验。
如果我设计这个系统,我会避免使用密码,否则,它会为技术水平较低的观众提供一种合适的替代身份验证方法。我的首选选项包括:
来自RSA密钥或类似密码(用于单因素身份验证系统)的一次性密码,
来自任一服务器的客户端证书智能卡或虚拟智能卡(使用PIN进行保护)或来自安全的USB软件狗
“图片密码”(在大图像上的一系列单击/轻击),从信息安全的角度来看,这与密码相同,并且可以认为,如果单击点顺序很明显,它的安全性就会降低,但是这会使人们更难以忘记,并且很难轻易通过电话共享。
使用PII(个人身份信息)作为密码。在美国,一个人的社会安全号码通常在这个地方使用,因为(通常)每个人都知道应该对其保密,但是人们似乎对银行网站要求其确认自己的身份没事-也许是一个不太重要的类似物可以使用,例如出生日期和当前街道名称,尽管这些几乎不是秘密,但如果系统使用数字或随机分配的用户ID(与电子邮件地址或自由文本用户名相对),则将是安全的密码,前提是用户不要泄露其用户ID。
评论
我们必须以某种方式找到一种方法,使计算机无需执行任何操作即可知道“我”,并且计算机无法被盗或被欺骗。如果它需要读取我的DNA,就这样吧。如果我需要在体内随机嵌入100个RSA密钥RFID标签,那就这样吧。不必证明自己是谁,甚至可以被“偷”,这是荒谬的。
–user82913
16年1月19日在0:00
#16 楼
这里的风险似乎更多地在于被告知密码的服务台技术人员这边。如果您不信任他们不要滥用知识,那么您就需要解决问题。让用户停止提供密码是对他们的教育。发生时应根据需要进行。
如果用户将密码提供给服务台人员,则应该有适当的过程来锁定该密码并强迫他们创建一个新密码。同样,您必须信任服务台人员来发起此任务,但这就是为什么在您被雇用之前要审核他们。
评论
这与帮助台人员的信任无关。通话记录,转录等。通话内容可以通过多种方式转移给其他人。马修的答案涵盖了其余的答案。
– schroeder♦
16年1月13日在18:52
我不确定迈克尔是谁,但是记录或转录呼叫会如何阻止Help Desk Employee X回家并试图查看用户A的已知密码和电子邮件组合是否将其带入用户A的银行帐户,电子邮件帐户或Facebook帐户中?
– willc
16年1月14日在20:11
恰恰相反。任何人都可以访问日志和成绩单是您需要考虑的另一项责任。
– Steve Dodier-Lazaro
16年1月14日在20:55
@geekamongus对不起,马修,不是迈克尔
– schroeder♦
16年1月14日在21:56
@geekamongus第一段似乎表明,如果您可以信任您的帮助台人员,那么您什么也不需要修复。我的观点是,问题不仅存在于信任之中,甚至存在于服务台之外。您的其余答案似乎与其他答案相同。
– schroeder♦
16年1月14日在21:58
评论
如果他们给您密码以查询有关其帐户的其他信息,请创建一个支持PIN系统。此PIN码将在他们的帐户中,并提供一种比密码另类的方法(但安全性较低)。“打电话给我们澄清他们的密码”:澄清是什么意思?他们是否告诉密码以标识自己?还是他们想要改变它?
@unor他们没有理由告诉我们他们的密码。他们实际上是在打电话,在我们确定是内部还是外部时,它们会“我的密码是x,对吗?”。这很奇怪,因为我以前从未遇到过这个问题。我还想指出,这些人是退休人员,其中一些人年纪很大。
这听起来像是UX问题,而不是安全问题。
老实说30年来,我们一直在以一种或另一种形式锤打“不要告诉任何人您的密码”。如果他们现在还没有弄清楚,他们将不会。我怀疑您能做很多事。