確保有一種方法可以讓用戶重設自己的密碼，並製定政策，以便在向用戶透露密碼時幫助台將重設密碼。

用戶傾向於在以下情況下打電話他們無法登錄，因此觸發了與他們自己相同的密碼重置過程，導致他們慢慢了解到電話無助。

不幸的是，某些用戶將始終這樣做，但是您可以在簡介消息中添加一些音頻並保留音樂，重申用戶不要通過電話提供密碼。

簡單地說，沒有辦法完全解決這個問題。但是，您可以採取一些策略和步驟來減少它：

• 發送安全意識消息（獨立消息或其他消息的頁腳），重申密碼是私有的，永遠不要給出
• 培訓服務台工作人員以切斷客戶，然後再提供密碼。
• 實施一項政策，如果客戶將密碼提供給服務台，則該密碼必須立即進行重置。
• 確保突出顯示自助服務欄目，並進行適當的廣告宣傳（以進行密碼重置/恢復）。

其中大多數都伴隨有相關費用服務（通常會帶來不便，並需要額外的文書工作），這在實施之前應予以考慮，但這是總的方向。

我認為，除了立即重置密碼外，還應該提醒用戶服務條款（示例服務條款）。

您是您帳戶的唯一授權用戶。 您有責任維護您或Zimride提供的用於訪問服務的任何密碼的機密性。您對使用您的密碼或帳戶進行的所有活動承擔全部責任。 Zimride無法控制任何用戶帳戶的使用，並明確聲明不承擔由此產生的任何責任。如果您懷疑任何未經授權的一方可能正在使用您的密碼或帳戶，或者懷疑有任何其他違反安全性的行為，則您將立即與我們聯繫。

告訴用戶他們違反了以下條款公開密碼，然後重置密碼以使其恢復合規性。

這還取決於您提供的服務類型。就我個人而言，如果我的帳戶沒有任何貨幣價值，那麼我不太會在意服務條款。另一方面，如果我要問我的退休帳戶，並且暗示在違反安全性的情況下，經常違反服務條款的行為可以作為使公司免於承擔財務責任的證據，我一定會注意的。

例如，一些黑客使用不相關的安全漏洞竊取了我的錢，但該公司不想再賺錢，因此他們將我的密碼洩露用作我粗心的證據。

我有一個簡單的過程，可以很快地教會用戶不要給我們提供密碼。如果用戶告訴您他們的密碼與您知道用戶告訴其他人的密碼相同，請強制他們設置新密碼。完成通話/互動，然後通知用戶，為了安全起見，您現在需要重設密碼，切記切勿告訴任何人（包括其經理或IT員工）他們的密碼，以及他們是否曾經立即告知IT人員，以便您可以重置它。

您可能已經在UIX.StackExchange上提出了此問題-似乎沒有人問“他們為什麼告訴您密碼？”這個問題。我認為嘗試用語音消息或警告來教育人們不會成功。大多數人都知道，如果沒有充分的理由，他們就不應該告訴任何人密碼。如果這確實是他們的密碼，似乎您的用戶界面使他們毫無頭緒。這可能有多種原因-如果您有老客戶，很可能是他們忘記了密碼，但是知道自己不容易記住這些信息的人通常會寫下來。

也許他們在登錄時遇到問題並收到通常的“您輸入了錯誤的用戶名或密碼”消息-很自然地會向支持人員詢問您輸入的用戶名或密碼是否錯誤。如果他們的帳戶被鎖定，也許他們會收到相同的消息？或者，也許他們通過郵件獲得了他們的第一個密碼，但它看起來並不像密碼。否則應用程序無法簡單地知道您的密碼。

您應該問用戶為什麼需要澄清密碼，並且可能會在與用戶/溝通的過程中找到原因。用戶界面，導致許多人需要通過電話澄清密碼。

使用新的解決方案建議進行更新：

如果您通過詢問客戶某個密碼短語的答案來開始每次對話，那該怎麼辦？知道？在我曾經工作過的一家公司中，很長時間以來，類似的選項已被用作一種額外的措施，該公司的安全性相對較高，並且我有預感，這可能會幫助您避免像您這樣的問題。

其工作方式如下：當客戶致電並提供其姓名時，您會查詢他們的信息，包括純文本問題和答案集。現在，請他們回答問題，立即要求他們核實身份，並向他們朗讀。

這將實現什麼？
兩件事，我會希望：首先，它應該提高您的安全性，即使只是微不足道。信息可能以純文本格式存儲，幫助台上的每個人都可以訪問，並且很可能會輕易猜出許多答案，特別是如果攻擊者在打電話給您之前做了一些研究之後。即使這樣，這仍然會使在電話上模擬一位客戶而又不引起任何懷疑變得更加困難。

第二，對於您的特定問題更重要，這應該使呼叫者清楚地知道您實際上已經識別出他們，並且正在查看他們的客戶數據。這裡的想法是您實際上允許您的客戶提供幫助。畢竟，這也許就是為什麼他們如此急於向您提供密碼的原因了吧？

從本質上講，您將向他們提供一種簡單的方法來識別自己的身份，而無需透露密碼的更敏感內容信息，即他們的個人密碼。

我先前的回答：

您可以並且應該繼續嘗試對用戶進行此類問題的教育，但是總會有一些用戶對此一無所知或不認真對待。每當發生這種情況時，請確保再次禮貌地告知您的用戶，並告訴他們您有一個策略，要求該用戶在密碼洩露後立即重置密碼。

如果這是一個反復出現的問題，您可能還想研究一下為什麼會發生這種情況。服務台人員實際上是否需要訪問客戶帳戶，即使只是很短的時間就可以幫助他們？也許您可以找到一些使用臨時密碼進行臨時訪問的解決方案？如果這包括一個宣傳的解決方案，使您可以輕鬆地幫助用戶，同時對他們來說顯而易見的是，您可以 訪問而無需他們向您提供密碼，那麼也許他們不會

很顯然，這需要在員工每次訪問用戶帳戶時進行日誌記錄，最好是簡短說明原因，完成的操作等，以及嚴格的保密政策以及有關員工可以做什麼和不能做什麼的準則等。

我只是想將其放在這裡​​的其他選項之上（很好）。

我不確定您使用的是哪種電話系統，但除了上面建議的那些，是否有可能會向用戶播放一條簡短的自動音頻消息，通知用戶不要與任何服務代表等共享密碼？這種自動消息既可以在用戶上手之前就對用戶進行教育，也可以防止惡意代表要求輸入密碼（不確定存在多少問題）。

我將此評論作為答案發布，因為我認為這是對問題的很好回答

就個人而言，如果有人已經意識到自己不應該告訴服務台密碼，那麼被動地重置其密碼很可能會使他們生氣-即使確保只有他們知道自己的密碼是一種好習慣。如果它是極其敏感的信息，那是必須的。否則，我認為在接聽電話之前進行某種錄音可能會有所幫助-“您的通話可能出於質量保證目的而被錄音。切記不要向任何人（包括幫助台）透露密碼。”

/ blockquote>

- @Jake

另一位來自左側字段的人試圖阻止洩漏，而不是擦地板。

如果您的密碼包含字母和，我們通常會得到一個非單色字體存在很多問題。 '1''i''l'的外觀也都相同'0''O'。那麼也許在顯示通行證時使用圖片或強制瀏覽器使用單字型？

還是讓您的通過算法以不使用以上任何一種方法。

通常，這是公司與客戶溝通，程序，組織，政策和策略不佳的徵兆。

對於我的某些銀行帳戶，即使我也不了解在密碼，安全短語，安全號碼，密碼，客戶ID，登錄名，登錄名，電子郵件地址，電子郵件地址和另一個電子郵件地址，所有這些有時都不同，有時沒有不同。 （請注意重複項！）。然後有兩個因子ID卡和相應的代碼。

例如我的ISP要求我輸入一個電子郵件地址來創建一個帳戶來獲得他們的服務，該帳戶提供了一個電子郵件地址[請參閱（1）]，然後我的電話ADSL ID也是“電子郵件地址”。因此，我該使用哪一種登錄方式-兩者都取決於網頁！

難怪人們會感到困惑，並且所有那些所謂的安全增強“方案”都會損害安全性。

然後我嘗試幫助我的年老公婆（87 & 90）患有助聽器困難等。

請確保通訊部門改進了這些電子郵件的格式和佈局，並且不要將它們與任何其他類似的發音項混淆（例如，刪除其中一個，因此沒有類似的發音項！）

我認為最好是通過IVR發出一條自動消息，告訴他們明確的信息-

出於安全目的，請不要向我們的幫助台代表提供密碼...

，甚至在他們與您的支持團隊聯繫之前。

我希望它會有所幫助！ ：）

我建議您備份並問自己為什麼用戶首先要這樣做。對我來說，發生的事情是他們無法登錄，並試圖確定他們是否忘記了密碼或其他錯誤-帳戶被阻止，用戶名錯誤，等等。

您的問題是，試圖解決其訪問問題的無辜用戶與通過人工設計支持人員來獲取帳戶訪問權限的惡意嘗試混在一起。不幸的是，僅僅詢問呼叫者他是真實用戶還是犯罪分子可能就行不通。

我沒有任何答案-您的員工願意提供或確認的任何信息都可能試圖讓不該訪問的人獲得訪問權限的一部分。

人們習慣於信任他們尋求幫助的人，否則他們不會問他們……醫生，治療師，汽車維修，家電服務等。例如，昨天我把我的汽車帶到商店去修理。如果他們說：“在任何情況下都不要將我們的任何員工（或任何其他人）交給您的汽車鑰匙，那將是荒謬的！”在我的車內是通常的文件，這些文件顯示了我的姓名和地址（汽車登記表，保險單據），我也有一個我的公寓的鑰匙也藏在車內（以防萬一我將自己鎖在外面，並且有一個我錢包裡的備用車鑰匙）。 可能壞人在汽車商店工作，但可能性很小。

但是在任何情況下，沒有人會“闖入”我的公寓或偷走我的汽車在這裡，所以我不必擔心信任全世界99.9999％的人。如果我將車鑰匙放到新西蘭，那將不是問題。如果羅馬尼亞的某人獲得了我的公寓鑰匙的副本，仍然沒有問題。因此，關鍵是電子世界完全不同。

我認為解決方案是使它更像現實世界：居住在我家鄉以外的任何人都不能遠程訪問我的銀行帳戶。如果我用信用卡在家中購買汽油，而一個小時後有人試圖在2000英里外使用它，那它肯定會失效。 （而且，它做到了一次。Bravo到我的信用合作社自動執行了對我而言最有利的事情，而無需我提出要求或為此付費！）

如果您“銷售”的世界沒有這種好處，您將無法向人們解釋或阻止基於可驗證信任世界的假設。改變您向人們推銷的世界。設置一個我的車鑰匙在新西蘭時被盜的無用密碼。 技術必須為人服務，而不是相反。如果您創建的東西不安全，請加倍努力。我們大大提高了飛機，汽車和電力的安全性，而不僅僅是說，哦，嗯，還需要更多的教育。

我在服務台工作，最近我們啟動了一個在線服務，我們的會員可以登錄。

很遺憾，設計問題 em>抬起頭來，在第一線，您必須應對，應該由建築師來回答此QA中提供的反饋。

我注意到兩點（強調我的）：

我們遇到的一個問題是，打電話給我們的用戶經常要求我們確認輸入給他們的密碼是正確的。這樣，他們通過電話公開密碼。我們如何防止這種情況發生？

和：

大約有90％的呼叫者是首次呼叫者。由於他們是第一次打電話，所以很難對他們進行教育。 他們是養老金領取者，因此他們通常比普通計算機用戶缺乏經過身份驗證的服務的經驗。

這裡的問題不是密碼系統的設計，問題是首先是不合適的受眾使用密碼。

如果我正在設計此系統，則應避免使用密碼，否則，請為不太適合的用戶提供一種合適的替代身份驗證方法。技術觀眾。我的首選選項包括：

• 來自RSA密鑰或類似密碼（用於單因素身份驗證系統）的一次性密碼，
• 來自任一者的客戶端證書智能卡或虛擬智能卡（使用PIN進行保護）或來自安全的USB軟件狗
• “圖片密碼”（在大圖像上的一系列單擊/輕擊），從信息安全角度來看，這與密碼，如果單擊點順序很明顯，則它的安全性可能較低，但這很容易讓人忘記，並且很難輕易通過電話共享。
• 使用PII（個人身份信息）作為密碼。在美國，一個人的社會安全號碼通常在這個地方使用，因為（通常）每個人都知道應該對其保密，但是人們似乎對銀行網站要求其確認自己的身份沒事-也許是一個不太重要的類似物可以使用，例如生日和當前的街道名稱，儘管這些幾乎不是秘密，但如果系統使用數字或隨機分配的用戶ID（與電子郵件地址或自由文本用戶名相對），則這將是安全的密碼，前提是用戶不要洩露其用戶ID。

這裡的風險似乎更多地在於被告知密碼的服務台技術人員這邊。如果您不信任他們不要濫用知識，那麼您就需要解決問題。

讓用戶停止提供密碼是對他們的教育。發生時應根據需要進行。

如果用戶將密碼提供給服務台人員，則應該有一個適當的過程來鎖定該密碼並強迫他們創建一個新密碼。同樣，您必須信任服務台人員來發起此任務，但這就是為什麼在您被雇用之前要審核他們。