내가 유지 관리하는 응용 프로그램은 표준 암호 재설정 스크립트를 제공합니다. 제 고용주는 지원 담당자가 직접 선택한 비밀번호에 비밀번호를 설정하고 전화로 고객에게 비밀번호를 제공하는 도구를 추가하려고합니다.전화로 암호 변경시 어떤 영향이 있습니까?
내 응용 프로그램의 보안은 최고 수준이 될 것으로 예상되므로 모든 종류의 경고 신호가 내 머리에 들어갑니다.
지원 담당자가 고객 암호를 알 수있게하는 명백한 아니오 외에도이 시나리오에서 다른 보안 관련 사항을 알고 있어야합니까? 사기의 경우, 이것이 우리의 법적 책임을 증가시킬 것입니까?
제 생각에는 고객에게 비밀번호 재설정 기능을 제공해야한다는 것입니다. 고객 은의 비밀번호를 잊어 버리고 재설정해야합니다. 직접 고객을 만나고 신원을 확인하는 것은 의문의 여지가 없으므로 사람이 고객의 신원을 확인한 후 (전화로도 충분하다고 판단되는 방식으로) 수행 할 수 있습니다. 전자 메일과 같은 서면 통신 형식은 어딘가에서 보관된다는 보장이 거의 없으므로 해당 형식의 암호를 사용하는 것은 좋지 않습니다. 전화 대화도 녹음 될 수 있지만 적어도 검색 가능하지는 않습니다. YMMV.
당신이 전화로내는 것은 확실히 고객이 처음으로 로그인 할 때 변경해야하는 임시 비밀번호 일 것입니다. (그리고 짧은 시간 동안 만 가능하면 좋습니다.). 그렇지 않으면 직원이 고객의 비밀번호를 알 수 있습니다!
법적 책임을 말할 수 없습니다.
강력한 임의 암호를 오류없이 전화로 전송하기가 어렵 기 때문에 지원 담당자가 사전에 약한 암호 (예 : 사전 단어와 몇 글자)를 선택하게 될 수도 있습니다. 또한 고객이 오인하여 회신하는 경우 암호를 적어 둘 수 있으므로 더 많은 사람들이 암호를 알 수 있습니다.
이것은 위키 질문으로 더 잘 추가되었을 것입니다.이 질문에 대한 명확한 대답은 모르겠습니다. –