如何告诉用户不要通过电话向我们的帮助台泄露密码？

#1 楼

确保有一种方法可以让用户重设自己的密码，并制定政策，以便在向用户透露密码时帮助台启动重设密码。

用户倾向于在可能的时候打电话给他们。无法登录，因此触发了与他们自己相同的密码重置过程，这导致他们慢慢了解到打电话无益。

#2 楼

不幸的是，有些用户会一直这样做，但是您可以在介绍消息中添加一些音频并保留音乐，重申用户不要通过电话提供密码。

#3 楼

简而言之，没有办法完全解决这个问题。但是，您可以采取一些策略和步骤来减少它：


发出安全意识消息（独立消息或其他消息的页脚），重申密码是私有的，永远不应分发给任何人。
培训服务台员工以切断客户，然后再提供密码。
实施一项政策，如果客户向服务台提供密码，则必须立即重设该密码。
请确保自助服务栏目突出并得到良好的广告宣传（以进行密码重置/恢复）。

大多数此类服务都伴随着相关的服务成本（通常为您带来不便，并增加了书面工作） ），这应该在实施之前考虑，但这是总的方向。

#4 楼

我认为，除了立即重置密码之外，还应该提醒用户服务条款（服务条款示例）。


您是帐户的唯一授权用户。您有责任维护您或Zimride提供的用于访问服务的任何密码的机密性。您对使用密码或帐户进行的所有活动承担全部责任。 Zimride无法控制任何用户帐户的使用，并明确声明不承担由此产生的任何责任。如果您怀疑任何未经授权的一方可能正在使用您的密码或帐户，或者您怀疑任何其他违反安全性的行为，则应立即与我们联系。


告诉用户他们已违反条款公开密码并重新设置密码以使其恢复合规性。

这还取决于您提供的服务类型。就我个人而言，如果我的帐户没有任何货币价值，那么我不太会在意服务条款。另一方面，如果我要问我的退休帐户，并且暗示在违反安全性的情况下，经常违反服务条款的行为可以作为使公司免于承担财务责任的证据，我一定会注意的。

例如，一些黑客使用不相关的安全漏洞窃取了我的钱，但该公司不想再赚钱，因此他们将我的密码泄露用作我粗心的证据。

#5 楼

我有一个简单的过程，可以很快地教会用户不要给我们密码。如果用户告诉您他们的密码与您知道用户告诉其他人的密码相同，请强制他们设置新密码。完成通话/互动，然后通知用户，为了安全起见，您现在需要重设密码，切记切勿告诉任何人（包括其经理或IT员工）他们的密码，以及他们是否曾经立即告知IT人员，以便您可以重置它。

#6 楼

您可能已经在UIX.StackExchange上提出了此问题-似乎没有人问“为什么他们告诉您密码？”这个问题。我认为尝试用语音消息或警告来教育人们不会成功。大多数人知道，如果没有充分的理由，他们不应该告诉任何人密码。

如果有那么多人打电话给您的支持以断言“ P4ssW0rd是我的密码，对吗？”如果这确实是他们的密码，则您的用户界面似乎使他们毫无头绪。这可能有多种原因-如果您有老客户，很可能是他们忘记了密码，但是知道自己不容易记住的人通常会写下来。

也许他们在登录时遇到问题并收到通常的“您输入了错误的用户名或密码”消息-很自然地会向支持人员询问您输入的用户名或密码是否错误。如果他们的帐户被锁定，也许他们会收到相同的消息？或者，也许他们通过邮件获得了他们的第一个密码，但它看起来并不像密码。否则应用程序无法简单地知道您的密码。

您应该问用户为什么需要澄清密码，并且可能会找到与用户/ in通信的原因。用户界面使许多人感到需要通过电话澄清密码。

#7 楼

更新并提出新的解决方案建议：

如果您通过询问客户某个仅他或她应该知道的通行短语的答案来开始每次对话该怎么办？在我曾经工作的一家公司中，很长时间以来，类似的选项已被用作一种额外的措施，该公司的安全性相对较高，并且我有预感，这可能会帮助您避免像您这样的问题。

其工作方式如下：当客户打电话并给出他或她的名字时，您会查询他们的信息，包括纯文本问题和答案集。现在，请他们回答问题，立即要求他们核实身份，并阅读给他们。

这将实现什么？
，我希望有两件事：首先，它应该提高您的安全性，即使只是微不足道的。信息可能以纯文本格式存储，帮助台上的每个人都可以访问，并且很可能会轻易猜出许多答案，特别是如果攻击者在打电话给您之前做了一些研究之后。即使这样，这仍然会使在电话上模拟一位客户而不引起任何怀疑变得更加困难。

其次，更重要的是对于您的特定问题，这应该使呼叫者清楚地知道您实际上已经识别出他们，并且正在查看他们的客户数据。这里的想法是您实际上允许您的客户有所帮助。毕竟，这也许就是为什么他们如此急于向您提供密码的原因了吗？

本质上，您将向他们提供一种简单的方法来识别自己的身份，而无需透露更敏感的内容信息，即他们的个人密码。


我以前的回答：

您可以并且应该继续尝试对用户进行此类问题的教育，但是总会有一些用户对此一无所知，或者不认真对待。每当发生这种情况时，请确保再次礼貌地告知您的用户，并告诉他们您有一项政策，要求他们在密码泄露后立即重置密码。

如果这是一个反复出现的问题，您可能还想研究为什么会发生这种情况。服务台人员实际上是否需要访问客户帐户，即使只是很短的时间就可以帮助他们？也许您可以找到一些使用临时密码进行临时访问的解决方案？如果这包括一个宣传的解决方案，使您可以轻松地帮助用户，同时对他们而言显而易见的是，您无需他们向您提供密码即可访问，那么也许他们将不需要“帮助”您

显然，这需要在员工每次访问用户帐户时进行日志记录，最好是简短说明原因，进行的操作等，以及关于机密性和安全性的严格政策有关员工可以做什么和不能做什么的准则

#8 楼

我只是想将其放在此处的其他选项之上（很好）。

我不确定您使用的是哪种电话系统，但除了建议的那些之外上面，是否有可能向用户播放一条简短的自动音频消息，通知用户不要与任何服务代表等共享密码？这种自动消息既可以在用户上手代表之前就对其进行教育，也可以防止任何恶意代表要求输入密码（不确定存在多少问题）。

#9 楼

我将此评论发布为答案，因为我认为这是对问题的很好回答


就个人而言，如果有人已经意识到自己不应该告诉服务台
他们的密码，然后被动地重置他们的密码
，很可能使他们生气-即使最好的做法是
确保只有他们知道他们的密码。如果信息极其敏感
，这是必须的。否则，我认为在接听电话之前进行某种
录音可能会有所帮助-“出于质量保证的目的，可能会录制您的电话
。切记不要向任何人透露您的
密码-包括帮助台。“


-@ Jake

#10 楼

如果您的密码中包含字母和数字，那么非单色字体经常会遇到很多问题。 '1''i''l'的外观也都相同'0''O'。
那么当显示其通行证时，也许使用图片，或强制浏览器使用单型吗？

或者让您的通过算法不使用以上任何一项。

#11 楼

通常，这是公司与客户沟通，程序，组织，政策和策略不佳的征兆。

对于我的某些银行帐户，即使我也不了解在密码，安全短语，安全号码，密码，客户ID，登录名之间使用“字母”或“电子邮件”的含义，登录名，电子邮件地址，电子邮件地址和另一个电子邮件地址，所有这些有时都不同，有时没有不同。 （请注意重复项！）。然后有两个因子ID卡和相应的代码。

例如我的ISP要求我输入一个电子邮件地址来创建一个帐户来获得他们的服务，该帐户提供了一个电子邮件地址[请参阅（1）]，然后我的电话ADSL ID也是“电子邮件地址”。那么，我该使用哪一种登录方式-两者都取决于网页！

难怪人们感到困惑，并且所有那些所谓的增强安全性的“方案”都损害了安全性。

然后，我尝试帮助老年人的岳母（87岁和90岁）解决助听器困难等问题。 br />
确保通讯部门改善了这些电子邮件的格式和布局，并确保它们不会与任何其他类似的发音项混淆（例如，删除其中一个，因此没有类似的发音项！）

#12 楼

我认为最好是通过IVR发出一条自动消息，告诉他们-


为了安全起见，请不要向我们的帮助台代表提供密码。
/>

，甚至在他们与您的支持团队交谈之前。

希望对您有所帮助！ :)

#13 楼

我建议您备份并自问，为什么用户首先要这样做。对我来说，发生的事情是他们无法登录，并正在尝试确定是否忘记了密码或其他错误-帐户被阻止，用户名错误，等等。

您的问题是，试图解决其访问问题的无辜用户与通过人工设计支持人员来获取帐户访问权限的恶意尝试混在一起。不幸的是，仅询问呼叫者他是真实用户还是犯罪分子可能就行不通了。

我没有任何答案-您的员工愿意提供任何信息提供或确认是不该尝试获取某人访问权限的潜在尝试。

#14 楼

人们习惯于信任他们寻求帮助的人，否则他们就不会向他们求助……医生，治疗师，汽车维修，家电服务等。例如，昨天我把我的汽车带到商店进行维修。如果他们说：“在任何情况下都不要将我们的任何员工（或任何其他人）交给您的车钥匙，那将是荒谬的！”在我的车内是通常的文件，这些文件显示了我的姓名和地址（汽车登记表，保险单据），我也将自己的公寓的钥匙也藏在车内（以防万一我将自己锁在外面，并且有一个我钱包里的备用车钥匙）。

但是，在任何情况下，没有人可以“闯入”我的公寓或偷走我的汽车而没有实际在这里，所以我不不必担心信任全世界99.9999％的人。如果我将车钥匙放到新西兰，那不会有问题。如果罗马尼亚的某人获得了我的公寓钥匙的副本，仍然没有问题。因此，关键是电子世界与众不同。

我认为解决方案是使它更像现实世界：住在我家乡以外的任何人都不能远程访问我的银行帐户。如果我用信用卡在家中购买了汽油，而一个小时后有人试图在2000英里外使用它，那它就会失效。 （而且，它曾经这样做过。Bravo到我的信用合作社自动执行了对我而言最有利的事情，而无需我询问或不必为此付费！）

如果您“销售”的世界没有这种好处，您将无法向人们解释或阻止基于可验证信任世界的假设。改变您向人们推销的世界。设置一个我的车钥匙在新西兰时被盗的无用密码。技术必须为人们服务，而不是相反。如果您创建的东西不安全，请加倍努力。我们大大提高了飞机，汽车和电力的安全性，而不仅仅是说，哦，嗯，还需要更多的教育。

#15 楼

我在服务台工作，最近我们启动了一个在线服务，我们的会员可以登录。


很不幸，设计问题困扰着您，在第一线，必须处理它，而应该由建筑师来回答此质量保证中提供的反馈。

我注意到两件事（强调我的意思）：


我们遇到的一个问题是，打电话给我们的用户经常要求我们确认输入给他们的密码是正确的。这样，他们通过电话公开密码。如何防止这种情况？


和：


我们的呼叫者中大约有90％是首次呼叫者。由于他们是第一次打电话，所以很难对其进行教育。他们是养老金领取者，因此与普通计算机用户相比，他们通常没有经过身份验证的服务的经验。

如果我设计这个系统，我会避免使用密码，否则，它会为技术水平较低的观众提供一种合适的替代身份验证方法。我的首选选项包括：


来自RSA密钥或类似密码（用于单因素身份验证系统）的一次性密码，
来自任一服务器的客户端证书智能卡或虚拟智能卡（使用PIN进行保护）或来自安全的USB软件狗
“图片密码”（在大图像上的一系列单击/轻击），从信息安全的角度来看，这与密码相同，并且可以认为，如果单击点顺序很明显，它的安全性就会降低，但是这会使人们更难以忘记，并且很难轻易通过电话共享。
使用PII（个人身份信息）作为密码。在美国，一个人的社会安全号码通常在这个地方使用，因为（通常）每个人都知道应该对其保密，但是人们似乎对银行网站要求其确认自己的身份没事-也许是一个不太重要的类似物可以使用，例如出生日期和当前街道名称，尽管这些几乎不是秘密，但如果系统使用数字或随机分配的用户ID（与电子邮件地址或自由文本用户名相对），则将是安全的密码，前提是用户不要泄露其用户ID。

#16 楼

这里的风险似乎更多地在于被告知密码的服务台技术人员这边。如果您不信任他们不要滥用知识，那么您就需要解决问题。

让用户停止提供密码是对他们的教育。发生时应根据需要进行。

如果用户将密码提供给服务台人员，则应该有适当的过程来锁定该密码并强迫他们创建一个新密码。同样，您必须信任服务台人员来发起此任务，但这就是为什么在您被雇用之前要审核他们。