帐户解锁和密码重置的成本加起来

IT服务台每天都要执行许多劳动密集型任务。没有比重置密码更繁琐、更昂贵的了。

现代IT服务台花费大量时间为最终用户解锁和重置密码。2019冠状病毒疾病加剧了这个问题。

帐户锁定和密码重置的原因

最终用户密码策略（如Microsoft Active Directory域服务（ADDS）中的策略）通常定义密码年龄。密码期限是最终用户可以保留其当前密码的时间长度。

尽管NIST的新指南反对长期以来的强制密码更改概念，但它仍然是其他合规标准和行业认证（如PCI和HITRUST）中常见且必需的安全机制。

当用户帐户达到密码期限时，用户必须更改其帐户密码。通常会在下次登录他们的工作站时提示。这种情况会产生一系列可能的事件。许多最终用户拖延更改密码，即使他们提前得到通知。

用户的账户上还连接着各种移动设备。如果用户在最终更改帐户密码时没有同步所有设备密码，这将产生可能导致锁定的问题。这可能会造成进一步的混淆，因为最终用户可能在其工作站上使用了正确的密码。

账户锁定和密码重置的成本是多少？

简单的密码重置似乎是一件小事，对企业来说没有实际成本。然而，数据显示情况并非如此。Gartner Group的一项研究发现20-50%的服务台电话用于执行密码重置。Forester Research通过一项研究补充了这一发现，该研究显示，一次密码重置的平均服务台人工成本可能高达70美元或以上.

你可能会想，这怎么可能？

首先，假设组织在为最终用户更改密码之前意识到最佳实践安全流程（它们应该是这样的）。在这种情况下，必须验证请求更改密码的用户的身份。这是为什么？攻击者可能会使用社会工程策略说服服务台更改合法用户的帐户密码。这种情况会将合法凭证交给攻击者，从而导致环境受损。通过手动方式验证最终用户身份的过程可能非常耗时。

接下来，企业可能仍在使用相互连接的遗留系统，这些系统需要在多个位置手动更改密码，而不是在整个环境中无缝地进行一次更改。帮助台团队确保正确更改密码所需的手动过程可能需要大量人力。

它可能需要帮助台团队登录，并使用许多不同的工具在多个系统中为单个用户帐户更改密码。最后，最终用户可能“死在水里”，等待IT服务台帮助解锁锁定的用户帐户或重置密码。最终用户被锁定且无法自行履行其工作职责所花费的时间将导致业务流程受到影响，并最终导致业务成本上升。

哪些工具可以降低账户锁定和密码重置的成本？

希望降低账户锁定和密码重置成本的组织可以从自助式密码重置（SSPR）工具中获得显著的好处。顾名思义，SSPR解决方案允许最终用户使用自助工作流程解锁帐户并重置密码。

最终用户必须提前在SSPR解决方案中注册或由系统管理员注册，以实现入职目的。用户主导的注册过程允许最终用户配置各种多因素识别方法，以验证其身份，从而执行自助服务操作。它可能包括设置与身份验证应用程序（如Google authenticator）的同步，通过文本或电话或其他方式进行移动验证。如果由管理员领导，这可能需要在用户的Active Directory配置文件中预先提交所需的验证者信息。

一旦最终用户注册/注册到解决方案中，他们就可以访问门户网站，开始工作流以解锁其帐户或重置其密码。他们可以做到这一点，而无需IT帮助台的任何参与或干预。正如您所想象的，这可以从服务台上卸载工作流并允许最终用户处理他们的帐户问题方面获得巨大的好处。

SSPR解决方案的好坏取决于最终用户的注册数量。一个好的SSPR解决方案允许管理员拥有以编程方式装载用户所需的工具。此功能包括预注册用户，这不需要管理员或最终用户的努力，因为系统将依赖现有的Active Directory标识符数据，使用户能够使用依赖于该数据的身份验证方法。当这个选项出现在SSPR解决方案中时，它可以极大地提高SSPR解决方案的整体采用率。

使用Specops uReset SSPR降低密码重置成本

有效的SSPR解决方案为企业提供了所需的工具和功能，以快速为最终用户提供轻松的注册功能，并执行自助账户工作流。Specops uReset是一个强大的自助密码重置解决方案，它有效地允许公司消除对其IT帮助台的密码重置呼叫。

它提供以下功能：

• 允许用户安全地重置其Active Directory密码
• 用户可以使用任何设备，也可以在任何地方重置密码
• 注册执行
• 用户可以从浏览器、移动设备或Windows登录屏幕启动密码重置过程
• 它允许公司实施一系列与商业网络安全政策相一致的多因素身份验证要求
• 它包括地理阻塞
• 管理员可以访问PowerShell脚本，以便快速将用户加载到uReset中。

Specops uReset自助服务工作流

当用户被锁定在其帐户之外或忘记密码时，Specops web门户允许他们快速解锁其帐户。

Specops uReset允许快速解锁帐户和重置密码

要求最终用户使用配置的第一种多因素验证方法验证其身份。

Specops集合中的移动代码验证

提示用户配置第二种形式的多因素身份验证。如果您注意到下面的情况，Specops使用配置的多因素身份验证机制来累积所需的“星”数。下面，需要三颗星进行验证。然而，这是可配置的，可以包括多种验证方法。

身份验证需要第二种形式的多因素身份验证

最终用户从Google authenticator输入代码。

从Google authenticator输入代码

Specops uReset强制注册

Specops提供了有效的工具来强制最终用户注册到Specops uReset。其中一个工具是注册提醒模式。组织可以使用此选项实施强制注册启动不可关闭的全屏浏览器.

通过一个不可关闭的浏览器窗口，最终用户将被帮助/强制注册到uReset。然后，可以通过Active Directory组策略对象将此设置“分配”给所有用户。

使用Specops设置注册提醒模式

收尾

帐户解锁和密码重置活动对IT帮助台操作的成本非常高。据研究人员称，每次密码重置，这些活动的费用加起来可能超过70美元。自助密码重置（SSPR）解决方案提供了一种方法，允许最终用户在没有服务台参与的情况下自行执行这些活动。

Specops uReset是一个强大的SSPR解决方案，为组织提供了有效实施自助服务功能所需的工具，最终用户可以在没有帮助台参与的情况下对其帐户锁定和密码重置进行分类。

它提供了强大的功能，包括简单的登录、可配置的多因素身份验证、注册强制、地理阻止和许多其他功能。