亚博Zendesk提供了以下级别的密码安全性:低、中、高。您可以指定自己的自定义密码安全级别。每个级别对密码的选择要求都更严格。您可以为最终用户设置一个密码安全级别,为团队成员(管理员和代理)设置不同的密码安全级别。只有管理员可以修改密码的安全级别。
本文涉及的主题:
关于密码安全级别
亚博Zendesk提供以下密码安全级别:
低—密码长度至少为5个字符。这是默认的安全级别。
媒介—密码长度至少为6个字符,并满足以下要求:
- 包括数字和混合大小写字母
- 包含非字母或数字的特殊字符
高—密码长度至少为6个字符,并满足以下要求:
- 包括数字和混合大小写字母
- 包含非字母或数字的特殊字符
- 密码有效期为90天,且新密码不能与前5次密码相同
自定义——选择自定义,然后点击编辑设置自定义密码要求。每个密码必须满足您设置的要求。此安全级别仅对代理和管理员可用。例如:
大多数选项都是不言自明的,除了以下选项:
- 要拒绝以前的密码的数目—新设置的密码不能重复设置。
- 锁定前尝试失败—如果终端用户或座席连续输入密码失败的次数达到系统设置的次数,系统将锁定该用户或座席一段时间。在锁定到期之前,他们无法再次登录。
- 字母或数字连续的最大数目—最大数目顺序密码中允许的数字和字母。例如,如果您将最大值设置为4,那么像admin12345,有五个连续数字,将被拒绝。如果将选项设置为5,则接受密码
- 密码可以像电子邮件一样-控制新密码是否可以包含电子邮件地址的部分。例如,当此设置为没有,如果用户的电子邮件地址为david@mycompany.com,则不能包含该单词大卫作为密码的一部分。
亚博Zendesk强制密码限制为128个字符。密码长度限制是一种可靠性措施,以防止一种被称为“长密码拒绝服务”的DoS攻击。要了解有关Zendesk安全实践的更多信亚博息,请访问我们的安全的网站。
修改密码安全级别
只有管理员才能修改密码的安全级别。如果提高安全级别,所有密码(无论安全级别如何)都将在5天内过期。所有最终用户和团队成员必须更改其密码以符合新的安全级别。
提高密码安全级别可能会导致某些密码立即过期。如果密码的使用时间超过90天,并且将安全级别提高到高级别(或具有过期限制的自定义级别),则认为该密码已过期。
亚博Zendesk在密码到期前三天向管理员和代理发送电子邮件通知,然后在密码到期当天发送。
修改密码的安全级别
允许管理员设置密码
帐户所有者可以允许管理员为用户设置密码。但是,出于安全原因亚博,Zendesk建议禁用此选项。它可以防止黑客利用社会工程技术欺骗善意的人提供机密信息。例如,黑客使用的一种技术是反复致电或发送欺骗电子邮件给支持中心,假装成一个忘记密码且无法恢复密码的沮丧客户,并一直坚持到代理别无选择,只能手动为愤怒的客户更改密码。一旦密码被更改,黑客就可以访问机密信息。
您也可以通过API设置用户密码。看到设置用户密码在开发人员文档中。
允许管理员为用户设置密码
- 在管理中心,点击账户在侧边栏中,然后选择安全>高级。
- 在密码选项卡上,选择允许管理员设置密码。
您必须是帐户所有者才能查看此设置。
- 点击保存。
当管理员为用户设置密码时,用户会收到管理员设置密码的邮件。
设置会话过期时间
您可以将Zendesk设亚博置为在一段时间不活动后自动签出座席和其他团队成员。只要代理积极使用该产品,他们就保持登录状态。主动使用包括打字和点击链接。
- 在管理中心,点击账户在侧边栏中,然后选择安全>高级。
- 在身份验证选项卡,设置会话过期时间。
- 点击保存。
密码安全最佳实践
考虑在您的Zendesk Support门户网站上发布一篇文章,提醒您的亚博代理和用户有关密码的最佳实践。常见的建议包括:
- 不要在多个帐户上使用相同的密码
- 不要分享你的密码
- 永远不要写下你的密码
- 永远不要通过电话、电子邮件或即时消息传递你的密码
- 在离开无人看管的电脑之前注销
- 一旦怀疑密码被泄露,就更改密码
有关保护您的私人信息的详细信息,请参见一般安全最佳实践。
12个评论
查尔斯Nadeau对于最终用户,我们无法找到密码安全级别的自定义设置!6个字符作为密码的最小长度是不可接受的“高”密码配置文件,我们需要至少8个字符…如何解决这个问题?
谢谢你给我们发信息。“高”安全性的密码长度至少只有6个字符,但他们可以将其扩展到8个字符。不幸的是,这是无法改变的,对于最终用户来说,最少是8个。
嗨,Josh,谢谢你的回复和修复这个文档!
但问题仍然存在:我们需要用户代理的自定义设置,正如您最初在这里记录的那样(但现在更正了……)。我们选择Zende亚博sk也是出于这个原因。“高”安全性配置文件的最小长度应该至少是8,而不是6!!
通过查阅文献,我发现黑客破解6个字符密码所需的时间是:
即时(仅限数字)
即时(小写字母)
即时(大写和小写字母)
1秒(数字,大写和小写字母)
5秒(数字、大小写字母、符号)
问:与此同时,是否有可能为最终用户启用至少2FA功能?@……
嗨@……,
我想回到Marco关于无法设置客户密码要求的话题。为什么这个功能不存在/可以启用吗?6个字符不是高安全性的密码。
同样在2FA的主题上,这对于最终用户来说也很重要。
在设置次数的尝试后,密码锁定多长时间?
你好,马特,
密码的锁定时间不应超过5分钟。
当我增加密码复杂度时会发生什么?我假设在创建新帐户时,它们只是满足新的需求。
然而,对于现有用户,他们会收到一封电子邮件通知,要求他们更新密码吗?他们下次登录Zendesk时会提示更新吗?亚博
我不希望我的用户收到很明显看起来像网络钓鱼的通知,而没有事先提醒他们这种通知或网站行为是预期的。我打算提前和他们沟通,告诉他们会发生什么变化。
看一看修改密码安全级别在上面的文章中——我认为这将解决你的问题。我相信通知(电子邮件和当他们登录时)将在5天的有效期过后发生,而不是立即。希望这对你有帮助!
你好,
是否有办法为不同的帐户设置不同的密码策略?
例如,用于监控的服务帐号?
没有直接满足不同密码策略的本机功能。用户将共享访问权限或密码安全级别。我建议大家检查一下这个综合指南亚博Zendesk登录设置。您提到了“服务帐户”,假设您的组织中有一个用户将作为服务帐户工作,并出于安全目的访问您的zendesk。亚博您可以查看API令牌- API令牌可以由帐户上的任何人使用,并且不与特定用户关联。更多细节可点击此处查看生成一个新的API令牌。谢谢你!
我们的一些代理使用SSO,而其他代理则不使用。我们的帐户上的SSO选项打开了。
这是否意味着重置密码的邮件不起作用?
谢谢
视情况而定。如果您启用了Zendes亚博k身份验证和SSO,那么您的代理可以选择通过SSO或其用户名和密码登录。也就是说,如果你与他们的Zendesk电子邮件和密码有关,重置密码将允许他们登录。亚博您也可以通过“管理中心>团队成员身份验证”进行检查
我希望这对你有帮助!
请登录留下评论。