Naar hoofdinhoud
Terug naar blog

Wachtwoordresets automatiseren: SSPR alleen is niet genoeg

ITSM Autopilot Team5 min leestijd
wachtwoord reset automatiserenITSMservicedeskAI agentsautomatiseringself-servicesecurity

Wachtwoordresets automatiseren combineert self-service password reset (SSPR) met AI agents die precies oppakken wat SSPR laat liggen: een vaag ticket dat eigenlijk een reset-geval blijkt, een gebruiker die vastloopt in de flow en liever in zijn eigen taal geholpen wordt, een geblokkeerd account, of de klassieke vervolgvraag "het werkte, maar Outlook blijft om mijn oude wachtwoord vragen." SSPR voert de reset uit. De AI agent handelt het ticket eromheen af, en keurt nooit zelfstandig iets goed dat met accountbeveiliging te maken heeft; dat legt hij altijd voor aan een mens.

Wachtwoord reset is het ticket waar vrijwel elke servicedesk-benchmark het over eens is: structureel de meest voorkomende melding in de wachtrij. Organisaties voeren SSPR in en verwachten dat de categorie verdwijnt. Hij krimpt. Verdwijnen doet hij zelden, en wat overblijft is vaak juist het lastigere deel.

Waarom blijft wachtwoord reset de nummer-1-melding, ook met SSPR?

SSPR werkt alleen als drie dingen kloppen: de gebruiker weet nog dat de portal bestaat, de portal is bereikbaar vanaf de plek waar hij vastzit (lastig, want juist zijn toegang is stuk), en het account verkeert in een status die SSPR kan oplossen. Mist een van die drie, dan landt het ticket alsnog bij de servicedesk.

Adoptie is de grootste hobbel. Zelfs een goed ingerichte SSPR-omgeving wordt in de praktijk minder gebruikt dan de behoefte rechtvaardigt, want op het moment dat iemand buitengesloten is, midden in een taak en geïrriteerd, grijpt hij naar het kanaal dat het snelst voelt: mail, telefoon, of gewoon een ticket. Precies dat soort terugkerende, laagcomplexe melding leent zich voor ticketautomatisering in plaats van een memo dat vraagt om toch echt de portal te gebruiken.

Wat is de staart rond wachtwoord resets?

De reset zelf is zelden het lastige deel. De staart eromheen bestaat uit:

  • Geblokkeerde accounts. Te veel mislukte pogingen voordat iemand SSPR probeerde, of een blokkade die SSPR alleen niet kan opheffen.
  • Verlopen of kwijtgeraakte MFA-tokens. Het wachtwoord wordt gereset, maar daarna komt de gebruiker niet langs de tweede factor, een ander probleem met een andere eigenaar.
  • "Het werkte, maar..."-vervolgvragen. Outlook, de VPN, of een gekoppelde schijf blijft ergens de oude inloggegevens cachen.
  • Toegang tot gedeelde mailboxen. SSPR is gebouwd rond één persoon, één identiteit. Gedeelde mailboxen vallen buiten dat model en vragen om een menselijke stap.
  • Een vaag openingsticket. "Kan niet inloggen" geeft op zichzelf geen aanwijzing dat het om een wachtwoordprobleem gaat, totdat iemand het zorgvuldig leest.
SituatieWat SSPR doetWat de vervolgstap nodig heeft
Standaard reset-verzoekReset het wachtwoordNiets meer
Geblokkeerd account na mislukte pogingenVaak geblokkeerd tot ontgrendelingVerduidelijking of een ontgrendelstap
MFA-token verlopenValt buiten scopeDoorverwijzing naar de juiste her-registratieflow
"Reset werkte, vraagt nog steeds"Valt buiten scopeCache- of clientzijdige troubleshooting
Toegang tot gedeelde mailboxValt buiten scopeMenselijke beoordeling, want het raakt gedeelde toegang

Hoe dichten AI agents het gat dat SSPR laat liggen?

Hier bewijst een AI agent bovenop het bestaande ITSM-systeem zijn waarde. Komt er een ticket binnen, dan leest de agent het zoals een ervaren eerstelijnsmedewerker, ook als de formulering vaag is. "Kan niet inloggen op mijn laptop" wordt correct getrieerd, en als het écht onduidelijk is, antwoordt de agent één keer met de twee of drie vragen die een mens ook zou stellen, in de eigen taal van de gebruiker, in plaats van te gokken.

Staat eenmaal vast dat het om een reset gaat, dan wijst de agent de gebruiker naar de juiste SSPR-flow, want veel organisaties draaien meer dan één identiteitsopzet (Azure AD, een legacy on-prem AD, een aparte VPN-identiteit), en de verkeerde kiezen kost een extra rondje. Voor alles daarna, van MFA-her-registratie tot "waarom vraagt mijn gekoppelde schijf nog om het oude wachtwoord," doorzoekt de agent de kennisbank, geüploade documenten en de servicecatalogus, en antwoordt met bronvermelding zodra de zekerheid hoog genoeg is. Zelfde mechanisme, bredere self-service: intentie begrijpen in plaats van op trefwoorden matchen.

Waar stopt automatisering en neemt een mens het over?

Nergens in deze flow keurt de AI zelfstandig een wachtwoordwijziging of accountontgrendeling goed. Elke actie naar buiten heeft een zekerheidsdrempel, en accountbeveiliging zit ruim boven de grens waarop de agent alleen zou handelen. Een ticket dat op een echt reset-verzoek lijkt, maar op een vreemd tijdstip binnenkomt, opvallend specifiek geformuleerd is, of een patroon vertoont dat op accountovername lijkt, wordt direct voorgelegd aan een mens. De agent neemt de repetitieve, laagoordeel-stappen weg, niet de beveiligingsbeslissing.

Dat sluit aan bij hoe eerstelijnsautomatisering breder werkt: de AI neemt categorisering, verduidelijking en herhaalantwoorden voor zijn rekening, en een mens blijft aan het roer bij alles wat risico of gezag met zich meebrengt.

Hoe rol je dit uit zonder risico toe te voegen?

Begin in shadow mode. De agent verwerkt elk binnenkomend ticket en schrijft alleen privénotities met suggesties, zodat je team ziet hoe de triage en antwoorden op wachtwoord-gerelateerde tickets eruit hadden gezien, voordat er iets bij een gebruiker terechtkomt. Zodra de privénotities consistent overeenkomen met wat een eerstelijnsmedewerker zou hebben gedaan, zet je antwoorden aan voor de duidelijkste, laagste-risico categorieën eerst, zoals MFA-her-registratie, en laat je accountontgrendelingen en gedeelde toegang voorlopig als privénotitie voor een mens staan.

Echte service door echte mensen. Administratief werk door machines.

Veelgestelde vragen

Vervangt dit SSPR?

Nee. SSPR blijft het middel dat de reset uitvoert. AI agents pakken alles eromheen op: herkennen dat een melding een reset-geval is, de gebruiker naar de juiste flow leiden, en de vervolgvragen beantwoorden waar SSPR nooit voor gebouwd is.

Kan de AI agent zelf een wachtwoord resetten?

Zijn taak is triage, verduidelijking en kennisantwoorden, niet identiteitsacties. Alles wat accountbeveiliging raakt, inclusief ontgrendelingen en gedeelde toegang, wordt voorgelegd aan een mens in plaats van automatisch uitgevoerd.

Hoe zit het met MFA-problemen en gedeelde mailboxen?

Vragen over MFA-her-registratie zijn meestal direct te beantwoorden vanuit de kennisbank. Verzoeken om gedeelde mailboxen vallen buiten waar SSPR voor ontworpen is en gaan naar een mens, omdat het om toegangsbeslissingen gaat en niet om de eigen inloggegevens van één persoon.

Is dit veilig vanuit securityoogpunt?

Elke actie naar buiten heeft een zekerheidsdrempel, en accountbeveiliging zit boven het niveau waarop de agent zelfstandig handelt. Verdachte patronen of dubbelzinnige verzoeken worden voorgelegd in plaats van uitgevoerd, en gestructureerde persoonsgegevens kunnen gemaskeerd worden voordat ze een AI-model bereiken.