Zendeskのパスワードセキュリティには、低、中、高の3つのレベルがあります。ProfessionalまたはEnterpriseプランでは、独自のカスタムセキュリティレベルを指定できます。レベルごとに、パスワードの作成に関する厳格な要件があります。エンドユーザー向けと、管理者/エージェント向けに、それぞれ別のセキュリティレベルを設定できます。パスワードのセキュリティレベルの変更ができるのは管理者だけです。
この記事では、次のトピックについて説明します。
パスワードのセキュリティレベルの概要
Zendeskのパスワードには以下のセキュリティレベルがあります。
低:5文字以上の長さのパスワードが必要。これはデフォルトのセキュリティレベルです。
中:6文字以上の長さのパスワードが必要。また、以下の要件を満たす必要があります。
- 数字、大文字、小文字のすべてを含む。
- アルファベットや数字以外の特殊文字(! @ # , % } ^,など)を含む。
高:6文字以上の長さのパスワードが必要。また、以下の要件を満たす必要があります。
- 数字、大文字、小文字のすべてを含む。
- アルファベットや数字以外の特殊文字(! @ # , % } ^,など)を含む。
- パスワードの有効期間は90日間です。パスワード更新の際には過去5件のパスワードと同じものは指定できません。
カスタム(ProfessionalおよびEnterpriseのみ):「カスタム」を選択し、「編集」をクリックしてカスタムパスワード要件を設定します。各パスワードは、管理者が設定した要件を満たす必要があります。このセキュリティレベルは、エージェントと管理者のみが利用できます。以下はその例です。
ほとんどのオプションの機能は名前のとおりですが、以下のオプションには説明が必要です。
- 以前のパスワード:新しいパスワードは、以前のパスワードで設定した数と異なる必要があります。
- ロックアウトまでの試行回数:エンドユーザーまたはエージェントは、パスワードの入力を指定した回数連続して間違えるとロックアウトされ、一定期間ロックアウトされます。ロックアウト期間が終了するまで、再びサインインすることはできません。
- 連続した文字または数字の最大数:パスワードで許可されている連続した数字および文字の最大数。たとえば、最大数を4に設定した場合、admin12345のように連続した数字が5桁あるパスワードは拒否されます。オプションを5に設定すれば、このパスワードは受け付けられます
パスワードのセキュリティレベルを変更する
パスワードのセキュリティレベルを変更するには、管理者である必要があります。セキュリティレベルを上げると、それよりも低いセキュリティレベルのすべてのパスワードの期限がその5日後に切れます。エンドユーザーは、変更後のセキュリティレベルに適合するパスワードを指定し直す必要があります。レベルの変更後に初めてエンドユーザーがログインすると、パスワードの変更を求める警告が表示されます。さらに、管理者とエージェントには、パスワードの有効期限の3日前および有効期限当日にメールで通知されます。
パスワードのセキュリティレベルを変更するには
- 任意のZendesk製品で、一番上のメニューバーでZendesk製品アイコン(
)をクリックし、「管理センター」を選択します。 - 左側のサイドバーにあるセキュリティアイコン(
)をクリックします。 - 「スタッフメンバー」または「エンドユーザー」タブをクリックします。エンドユーザー向けと、スタッフメンバー(管理者とエージェント)向けに、それぞれ別のパスワードセキュリティレベルを設定できます。
「エンドユーザー」タブは、ヘルプセンターを有効にするまで使用できません。「初めてのGuideの使い方」を参照してください。
- いずれかのセキュリティオプションを選択し、「保存」をクリックします。
管理者にパスワードの設定を許可する
アカウントオーナーは、管理者がユーザーのパスワードを設定できるよう許可することができます。ただし、セキュリティ上の理由で、このオプションは無効にしておくことをお勧めします。ハッカーがソーシャルエンジニアリングテクニックを駆使して善意の人々を騙し、機密情報を入手するのを防ぐためです。たとえば、ハッカーの手口の1つに、パスワードを忘れて復元できなくなってイライラしているカスタマーを装って、サポートセンターに繰り返し電話を掛けたり、身元を偽装したメールを何通も送りつけるやり方があります。エージェントは、激怒したカスタマーによって、パスワードを手動で変更せざるを得なくなるまで追い詰められます。パスワードが変更されてしまうと、ハッカーが機密情報にアクセスできるようになります。
ユーザーのパスワードをAPI経由で設定することもできます。「ユーザーのパスワードをリセットする」を参照してください。
ユーザーのパスワードを管理者が設定できるようにするには
- 任意のZendesk製品で、一番上のメニューバーでZendesk製品アイコン()をクリックし、「管理センター」を選択します。
- 左側のサイドバーにあるセキュリティアイコン()をクリックし、「詳細」をクリックします。
- 「パスワード」セクションで「管理者にパスワードの設定を許可」を選択します。
この設定は、アカウントオーナーにのみ表示されます。 - 「保存」をクリックします。
管理者がユーザーのパスワードを設定した場合、ユーザーにメール通知が届きます。
セッションの有効期限を設定する
Zendeskの設定で、非アクティブな状態が一定期間続くと強制的にエージェントおよび他のチームメンバーをサインアウトさせることができます。エージェントは製品をアクティブに使用している間はサインインしている状態です。入力操作およびリンクのクリック操作を行なうと、アクティブな使用と見なされます。
- 任意のZendesk製品で、一番上のメニューバーでZendesk製品アイコン()をクリックし、「管理センター」を選択します。
- 左側のサイドバーにあるセキュリティアイコン()をクリックし、「詳細」をクリックします。
- 「認証」セクションで「セッションの有効期限」の時間を設定します。
- 「保存」をクリックします。
パスワードセキュリティのベストプラクティス
パスワードのベストプラクティスに関する記事をZendesk SupportのWebポータルに投稿し、+一般的な推奨事項は以下のとおりです。
- 同じパスワードを複数のアカウントで使い回さない
- パスワードは他人に教えない
- パスワードをメモしない
- 電話、メール、インスタントメッセージなどでパスワードをやり取りしない
- コンピュータから離れるときはログオフする
- パスワードが侵害された疑いが少しでもあれば、すぐにパスワードを変更する
この件に関しては、「Choosing Good Passwords - A User Guide(よいパスワードの選び方 - ユーザーガイド)」の記事もよい参考となります。
プライベート情報のセキュリティ保護の詳細については、「セキュリティのベストプラクティス」を参照してください。
0 コメント
ログインしてコメントを残してください。