服务台应该如何重置密码？

问问普通的技术支持人员他们一整天都在做什么，他们可能会回答说他们重置了密码。当然，帮助台技术人员也会做很多其他的事情，但在许多组织中，大量的帮助台电话都与密码重置有关。

从表面上看，让帮助台技术人员重置用户密码似乎没什么大不了的。毕竟，技术人员只需打开Active Directory用户和计算机，右键单击用户帐户，然后从快捷菜单中选择重置密码命令。以这种方式重置密码是一个简单的过程。如果愿意，企业甚至可以选择使用其他工具，如Windows管理中心，甚至PowerShell。

然而，大多数人可能不会停下来思考的一件事是，尽管密码重置过程中涉及的步骤足够简单，但整个过程构成了重大的安全风险。

保安和服务台

密码重置过程的第一步是用户拿起电话并致电帮助台请求密码重置。问题是，接听电话的帮助台技术人员无法知道用户是否是他们声称的真实身份。

当几乎所有用户都在公司办公室工作时，积极确定呼叫者的身份不太成问题，因为用户的呼叫者ID信息有时可以用作验证工具。虽然以这种方式使用呼叫者ID并不能完全消除一个用户欺骗另一个用户身份的可能性，但它确实可以使想要冒充另一个用户的用户不得不从该用户的办公桌呼叫帮助台。

当然，今天的情况与过去大不相同。随着疫情的持续，许多工人继续在家工作。即使到了人们可以安全返回办公室的那一天，仍有相当一部分员工可能会继续远程工作。

不幸的是，来电显示不是验证远程用户身份的有效工具。当远程用户联系组织的帮助热线时，他们是从外线拨打电话。外部来电者很容易伪造来电显示信息。电话销售员和电话骗子一直在使用这种技术。例如，欺诈者通常会修改来电显示信息，使其看起来像是属于政府机构或大公司。简单地说，在组织外部发起的呼叫中，无法信任呼叫者ID。

因此，如果呼叫者ID信息不可信任，组织必须考虑如何最好地验证用户的身份，当他们调用帮助台请求密码重置时。

一种特别常见的验证技术涉及向用户询问安全问题。例如，技术人员可能会问打电话的人他们的宠物叫什么名字，或者他们出生在哪个城市。不幸的是，这种方法也会带来安全风险。

安全问题带来的最明显风险是，互联网使收集某人的个人信息相对容易。攻击者可能会打几个电话给组织的帮助台，只是为了发现他们提出了什么类型的安全问题。一旦攻击者知道最有可能被问到的问题，他们就可以使用搜索引擎和社交媒体来研究特定用户对这些问题的答案。

使用安全问题的另一个大问题是帮助台技术人员了解问题的答案。然后，一个无良的技术人员可能会将这些信息用于非法目的。

这就引出了一个重要的问题。没有什么能阻止不道德的帮助台技术人员执行未经请求的密码重置。技术人员可能会意识到某个特定用户将休假一周，然后重置该用户的密码，以便他们或其他人可以在员工不在时访问该帐户。

服务台密码重置的最佳实践

不用说，密码重置过程存在一些重大挑战。克服这些挑战的最佳方法是采用第三方密码解决方案，该解决方案可以在执行密码重置之前安全地验证用户的身份。Specops软件有几种方法可以做到这一点。一个示例涉及向用户的移动设备发送一次性代码。此外，Specops解决方案防止帮助台技术人员随意重置密码。在用户验证其身份之前，帮助台技术人员无法重置密码，这使得技术人员无法执行未经授权的密码重置。