私が管理しているアプリケーションは、標準のパスワードリセットスクリプトを提供しています。私の雇用者は、サポート担当者が手作業でパスワードを手動で設定し、電話で顧客にパスワードを渡すためのツールを追加したいと考えています。電話によるパスワード変更にどのような影響がありますか?
私のアプリケーションのセキュリティは一番上のノッチになると予想されています。このため、あらゆる種類の警告音が頭に表示されます。
サポートスタッフが顧客のパスワードを知ることを可能にする明白なノーテーション以外に、このシナリオでは他にどのようなセキュリティの意義を認識すべきですか?詐欺の場合、これにより当社の法的責任が増加するか?
これは、顧客にパスワードを再設定する必要があるということです。お客様はパスワードを忘れてリセットする必要があります。顧客を直接会って自分のアイデンティティを確認することは疑問ではないと思われるので、人がアイデンティティを確認した後で電話でやりとりすることもできます(何らかの方法で十分だと思われます)。電子メールなどの書面によるコミュニケーションは、どこかにアーカイブされることがほぼ保証されているので、パスワードをその形式にすることは悪い考えです。電話会話も記録されるかもしれませんが、少なくともそれは検索可能ではありません。 YMMV。
あなたが電話で出したことは、確かに一時的なパスワードでなければなりません。顧客が初めてログインするときに変更する必要があります(できれば短い時間)。さもなければあなたのスタッフは顧客のパスワードを知るでしょう!
私は法的責任を負うことはできません。
強力なランダムパスワードを電話でエラーなしに送信することは難しいため、サポートスタッフは弱いパスワード(辞書の単語やいくつかの文字など)を選択するようになる可能性があります。また、顧客が誤解して電話をかけた場合に備えて、パスワードを書き留めてしまう可能性があり、その結果、さらに多くの人々がパスワードを知ることになります。
これはウィキの質問として追加された方が良いかもしれません - 私はこの質問が非常にはっきりと定義された答えを持っているのか分かりません! –