Frage:

Ich wurde von einem Freund gefragt. Ich kanns nicht wirklich beantworten, daher die Frage an Dich/Euch:

Ein riesiges Logistikunternehmen hat weltweit 7000 MA im Einsatz. Es hat eine Menge externer Mitarbeiter sowie interne Mitarbeiter im Ausseneinsatz. Die Prio wird bei beiden Typ Mitarbeiter gleich hoch/niedrig angesetzt. Für das Unternehmen sind also beide gleich (für das Szenario !!)

Ein Mitarbeiter ist nun im Außeneinsatz und hat sein Passwort vergessen. 3x falsche Eingabe ---> Sperrung. Das soll nun nicht sein.

Er könnte sich jetzt bei der IT-Service Abteilung melden und angeben das er sein PW zurückgesetzt haben möchte.

Wie kann die Abteilung nun feststellen das Sie wirklich die besagte Person vor sich hat um das PW zurückzusetzen ?

Bedenke:

- Es geht nur um Menschen die der IT-Abteilung nicht bekannt sind (das sind ne Menge...)

- Notebooks sollen nicht eingebunden werden in den Prozess. (5000 Notebooks und Blackberrys sind im Einsatz)

- persönliche Daten können nicht abgefragt werden, da zur Verifizierung Einblick in die Personalakte erforderlich wäre. No Go !

Ich hatte vorgeschlagen, das die Blackberrys, die die ext. MA im Einsatz haben das Passwort zugeschickt bekommen. Aber nicht jede Blackberry Nummer ist aus Security-Gründen immer für alle einsehbar.

Aber mein Kumpel hat nur den Vogel gezeigt..also auch ein No-Go.

Momentan wirds so gehandhabt, das wenn die Abends im Hotel hocken (also gegen 22 Uhr rufen Sie Ihren Abteilungsleiter an, der beim IT-Service bekannt ist..und sich für denjenigen verbürgt) - das kanns aber nicht sein oder ?

Bei uns in der Firma kann mans einfach umstellen lassen - gar kein Thema...aber davon wollte besagter Kumpel nix wissen. Aber mich interessiert auch eine mögliche Lösung sehr..und daher geb ich mal die Frage an Euch weiter..Vielleicht habt ihr inzwischen das ein oder andere an Lösungen ?!

Danke !

ich würde sagen, ohne eine anderweitige Verifikation des einzelnen Users, ist sowas immer schwierig. Wenn würde ich mir generell mal Gedanken zum Identity Management machen. Wird ja nicht nur beim PW zurücksetzen der Fall sein, wo sowas benötigt wird. Oder es gibt für jeden User ein Masterpasswort.

Wie macht ihr es denn generell bei Support-Anfragen. Kann da Hinz und Kunz anrufen?

Bearbeitet 19. Juli 201213 j von DarkMaster

Hmmm... ich kenns aus manchen Firmen, dass der Personalausweis dem Service Desk zugefaxt werden muss und dann ein neues Passwort vergeben wird.

Widerspricht eventuell dem Datenschutz und es könnte auch noch immer jemand anders sein, der den Ausweis gefunden hat oder so, nur wie anders will man das machen?

Per Post-Ident-Verfahren wäre zwar eine Möglichkeit, aber das dauert natürlich dann auch zwei Tage oder so, bis der User ein neues Passwort hätte und geht auch nur, wenn er nciht dauernd unterwegs ist...

Am einfachsten wäre es in meinen Augen, wenn ein Passwort hinterlegt würde, das der Anrufer dann sagen muss (oder eine bestimmte Antwort auf eine Frage) und anhand dessen dann verifiziert werden könnte, dass er auch wirklich derjenige ist.

Bei uns (großes Unternehmen, tausende Mitarbeiter) sind bei Service-Desk insgesamt fünf Sicherheitsfragen hinterlegt. Wer sich dort meldet, muss zwei zufällig ausgewählte richtig beantworten, bevor das PW geändert wird.

Bei uns wird das ganze automatisiert von einem Sprachcomputer mit Stimmprofil gemacht.

Wie kann die Abteilung nun feststellen das Sie wirklich die besagte Person vor sich hat um das PW zurückzusetzen ?

Garnicht...

Der Weg über den Abteilungsleiter ist wohl der pragmatischste Ansatz.

Alternativ könnte man auch über andere Authentifizierungsmethoden, zB. Biometrie nachdenken, jedoch sind auch die fälschbar.