Passwort-Reset-Prozess: Service Desk und Self-Service

Passwörter stellen den grundlegenden Schutz für die Benutzer dar, um die Kontrolle darüber zu behalten, welche Aktionen mit ihren Benutzer-IDs in IT-Systemen ausgeführt werden. Moderne Passwortrichtlinien helfen, die Passwörter vor unbefugtem Zugriff zu schützen.

Jede Kette ist jedoch nur so stark wie ihr schwächstes Glied – und beim Passwortschutz stellt der Reset-Prozess eine Schwachstelle dar. Man hört leider immer wieder von allzu vertrauensseligen Service-Desk-Mitarbeitern, die Benutzern am Telefon ein neues Passwort erteilen – ohne jegliche Authentifizierung!

Dies ist weder aus Management- noch aus Benutzersicht akzeptabel. Die Lösung lautet: solide Authentifizierung. Dies gilt für Self-Service-Portale genauso wie für den Service Desk. Im Austausch mit Kunden und Interessengruppen haben wir erfahren, dass für Benutzer, die ihr Passwort vergessen haben, in der Regel die folgenden Authentifizierungsmethoden zum Einsatz kommen:

  1. Der Benutzer wird zurückgerufen. Die Telefonnummer findet man in der Mitarbeiterakte oder im IT-System. (Es könnte jedoch ein Eindringling am Schreibtisch des Benutzers sitzen.)
  2. Ein PIN-Code wird per SMS an das Handy des Benutzers geschickt. (Voraussetzung dafür ist, dass alle Benutzer über ein Handy verfügen und sämtliche Telefonnummern erfasst wurden.)
  3. Ein vertrauter Kollege des Benutzers ruft an und bittet um ein neues Passwort. (Dazu muss ein solcher Kollege verfügbar sein, und es ist eine dritte Person beteiligt.)
  4. Der Chef des Benutzers wird angerufen. (Der Chef muss jedoch verfügbar sein, und es ist eine dritte Person beteiligt.)
  5. Der Benutzer muss persönliche oder individuelle Fragen beantworten. (Firmeninterne Daten wie die Mitarbeiternummer sind auch anderen Mitarbeitern bekannt, und persönliche Informationen wie „Lieblingsfilm“ müssen vorher erfasst werden.)
  6. Der Benutzer muss persönlich vorbeikommen. (Dies ist jedoch meist mit einem enormen Zeitaufwand verbunden!)

Sie sehen also: Alle genannten Authentifizierungsmethoden haben einen Haken. Ein weiteres nicht zu unterschätzendes Verwaltungsproblem liegt darin, zu überwachen, ob der Service Desk den vorgeschriebenen Authentifizierungsprozess auch exakt einhält. Wenn Sie nur dem Service Desk erweiterte Berechtigungen erteilen, kann der Passwort-Reset ausschließlich über FastPass (und nicht über Windows-Konten mit erhöhten Rechten) erfolgen, und alle Passwort-Resets können überwacht werden.

Self-Service

IDC-Analystenmeinung

Business Case

Video

Produkte

Passwort reset prozess

Unsere Kunden