Je moet gewoon zeggen: "wachtwoorden worden niet via de telefoon doorgegeven." Want hoe weet jij immers of het niet een hacker is die je belt? Dit is al vaker in de geschiedenis voorgekomen. Helpdesk zou niet eens toegang moeten hebben tot je nieuwe password (non-repudation; alleen de gebruiker moet kennis hebben van het password). Indien een helpdesker toegang heeft tot jouw password, en dit aan je kan verstrekken, dan is er sprake van een slecht security beleid. Wachtwoordbeleid zal niet werken denk ik, wij moesten maandelijks wijzigen, veel van mijn collega´s gebruikten dan bv Januari2018! enz. Afdwingen van een sterk wachtwoord is, net als de periodieke wijziging, onderdeel van wachtwoord beleid. Indien je bij jullie Januari2018! *kan* kiezen als password, dan kan je het best de verantwoordelijke voor het wachtwoordbeleid vragen om een andere baan te zoeken. Standaard control in wachtwoord beleid, password complexity. Als je een "goede" phishing mail maakt, dan is een score van 12% juist heel ...