Gli utenti amministratori devono confermare la propria password prima di modificare una password utente?

Questo è un principio anti-modello del minimo privilegio. Nel caso comune, un pulsante "resetta password" dovrebbe essere sufficiente, il che porterà un utente di destinazione al modulo di ripristino della password.

Ma se hai bisogno esattamente del pulsante "imposta nuova password", allora prendi in considerazione due importanti vettori di attacco: CSRF e XSS. Se li attenuerai bene, dovrebbe essere abbastanza semplice senza ulteriore autenticazione.

È probabile che la decisione si riduca al profilo utente dell'amministratore. Per i team di amministratori dedicati potrebbero esserci altri controlli supplementari come restrizioni sui dispositivi che possono essere utilizzati, dispositivi di protezione e sale operatorie controllate da accesso per ridurre il rischio di attacchi. Questi controlli supplementari possono rimuovere la necessità di richiedere la ri-autenticazione prima di consentire il ripristino della password di qualcun altro.

Se le responsabilità di amministratore sono state delegate parzialmente o completamente a utenti fidati nella comunità degli utenti, ad esempio in una succursale, esiste la possibilità che utenti normali o addirittura membri del pubblico abbiano accesso agli stessi dispositivi dell'amministratore utenti.

Per tentare di prevenire l'abuso del privilegio in questo scenario potrebbe essere opportuno richiedere l'autenticazione secondaria per assicurarsi che sia sempre la stessa persona (autorizzata) a richiedere la reimpostazione della password (cioè per assicurarsi che non si siano allontanati e lasciato un macchina registrata per errore).

Admin users can change the password of any user. Should they be required to confirm their password when doing so?

Il sito Web potrebbe richiedere all'utente amministratore la sua password per ogni modifica di impostazione, inclusa la reimpostazione della password per l'utente normale.
Indipendentemente dal fatto che questa politica sia buona o cattiva, basta confermare che l'utente giusto sta eseguendo attività di amministrazione, questo è diverso per il normale caso dell'utente in cui lo scopo di richiedere la password corrente è quello di far sì che l'utente giusto abbia accesso al proprio account. / p>     

Probabilmente non è vantaggioso farli reinserire la password per un'azione come reimpostare una password utente - hai già fatto autenticare l'utente amministratore al tuo sistema. Si potrebbe fare in modo che ogni utente inserisca la propria password per ogni azione possibile e sarebbe "più sicuro", ma non in modo significativo. Inoltre, reimpostare una password non è un'azione particolarmente delicata da eseguire per un utente amministratore (ad esempio non come eliminare una risorsa)

Supponendo che tu stia già autenticando l'utente amministratore in un primo momento, e che stai proteggendo da altri attacchi cross-site, questo si risolverebbe solo in due scenari

1. Il tuo sito web non disconnette automaticamente gli utenti, e un utente amministratore ha registrato a sinistra la loro stazione di lavoro disponibile per un'altra persona per dirottare fisicamente - un ulteriore controllo della password attenuerebbe questa vulnerabilità (certamente improbabile). Dovresti automaticamente disconnettere gli utenti a intervalli regolari di inattività, in particolare gli utenti privilegiati.
2. Si desidera considerare attentamente l'amministratore se in realtà desidera eseguire il ripristino, analogo all'eliminazione di un repository su GitHub, una macchina virtuale in Azure in cui è necessario digitare il nome della risorsa che si sta tentando di eliminare. Reimpostare una password in genere non è un grosso problema quanto eliminare le risorse, quindi anche questo non sembra molto vantaggioso rispetto alla seccatura per gli utenti admin.

Non ci sono molti vantaggi in ogni caso. Sarebbe meglio servire assicurandosi che funzioni come l'autenticazione a due fattori funzionassero e proteggessero dagli attacchi cross-site.

Admin users can change the password of any user. Should they be required to confirm their password when doing so?

Non necessariamente. A condizione che l'amministratore NON debba avere la possibilità di selezionare la stringa della password dell'utente. L'amministratore potrebbe attivare un'azione di reimpostazione della password che invierebbe un'email all'utente con un collegamento per reimpostare la propria password.

Se sopra tale sistema non è possibile e l'amministratore deve reimpostare la password per gli utenti, chiedere la password di amministratore per ogni reimpostazione della password potrebbe essere complicato, ad esempio, se l'amministratore deve reimpostare centinaia di password in un batch. Ciò non costituirebbe una misura di sicurezza efficace e potrebbe portare a singolo punto di errore .