Reimposta i collegamenti nelle e-mail di scadenza della password

4

La nostra organizzazione sta pianificando la scadenza annuale delle password per i nostri oltre 40.000 utenti questo autunno e stiamo socializzando questo cambiamento da un po 'di tempo. Tuttavia, essendo una così grande organizzazione, i nostri utenti sono costantemente bombardati da e-mail di phishing. La nostra regola pratica dice ai nostri utenti "Non fare clic sui link nelle e-mail che non ti aspettavi".

Tuttavia, ora che stiamo per scadere la scadenza della password, stiamo pianificando di inviare e-mail agli utenti le cui password scadranno presto sollecitandole a cambiare la loro password.

Le email:

  • Sono ben marchiati e hanno un aspetto professionale
  • Identifica personalmente l'utente con il suo nome utente e un numero di ID interno (anche se non completamente privato)
  • Spiega chiaramente cosa sta succedendo e quali azioni intraprendere
  • Contiene intestazioni appropriate che identificano il server di posta di invio proviene dalla nostra organizzazione per utenti esperti (ad esempio, non le stiamo inviando da fuori sede)

Tuttavia, per rendere la vita molto più facile agli utenti, abbiamo un paio di link nelle email:

  • Un link alla nostra documentazione per la scadenza della password sul nostro sito web
  • Un collegamento all'applicazione di reimpostazione della password effettiva
  • Un collegamento all'applicazione di recupero password (per password perse)

C'è anche una mini-guida su come identificare siti affidabili controllando l'URL e il certificato SSL, e quando si è in dubbio di digitare l'indirizzo sulla nostra homepage stessa, quindi seguire i collegamenti.

La mia domanda è:

C'è una certa legittimità che possiamo aggiungere alla email di scadenza della password in modo che gli utenti possano fidarsi di questa email (cosa che probabilmente non si aspettavano) e cliccare sui link, o dovremmo abbandonare i link tutti insieme e solo dire agli utenti fare da soli la procedura invece di fare clic su un comodo pulsante nell'email?

    
posta Resorath 02.07.2015 - 22:10
fonte

2 risposte

4

La risposta breve è no. Certo, puoi rendere la tua email molto legittima, non è questo il problema. Il problema è che stai condizionando i tuoi utenti a fare clic sui link nelle e-mail e l'e-mail è un mezzo insicuro al 100%. I link nelle email sono un anti-pattern.

"L'aspetto ufficiale" non è sicuro. Quasi tutto nella tua email può essere replicato da un utente malintenzionato. Se sei un utente di mycompany.com, un utente malintenzionato che utilizza myc0mpany.com quasi sicuramente riscuoterà una percentuale significativa dei tuoi utenti. L'utente malintenzionato può utilizzare anche SSL e SPF. Il che significa alcune cose molto sottili che non sono forti identificatori.

È chiaro che hai riflettuto su questo. Cose come l'identificazione dell'utente per nome utente aggiungono legittimità, ma la maggior parte di loro si accorgerà se un'altra email da "tu" non lo ha fatto? Come esperimento, se hai inviato un'email simile a un gruppo di test senza quei booster di legittimazione extra o da un dominio falsificato (myc0mpany.com), suppongo che potresti vedere una percentuale di clic che è quasi altrettanto elevata.

Ora, se i tuoi capi ti spingono a usare bene i link, certamente capisco. Noi, come industria, abbiamo fatto un ottimo lavoro di condizionare tutti, dagli utenti finali ai responsabili delle politiche, ad aspettarsi questo anti-modello. Comunque se puoi, fai un passo indietro. Perché hai bisogno di un link nell'email?

Perché non puoi gestire la reimpostazione della password al prossimo accesso? Invia una e-mail agli utenti avvisandoli che dovranno reimpostare la password al successivo accesso. È possibile includere uno screenshot di un browser (con url) e la pagina di accesso se si ritiene che gli utenti non siano in grado di accedere alla schermata di accesso senza un collegamento diretto (non sicuro).

Inoltre non distribuirò una reimpostazione della password a tutti i 40.000 utenti contemporaneamente. Gestiscilo in lotti e prenditi del tempo tra i vari lotti per ottenere un feedback.

Anche per le password perse non è necessario includere collegamenti nelle e-mail.

  1. L'utente del sito web tenta di accedere e non può.
  2. L'utente fa clic su password dimenticata e completa eventuali requisiti di identificazione alternativi.
  3. Lato server genera codice di ripristino, aggiorna record utente in db per memorizzare lo stato dell'account (ripristina), memorizza codice di ripristino e scadenza.
  4. Invia email all'utente contenente il codice di ripristino (nessun collegamento).
  5. La pagina viene caricata per indicare all'utente che è stata inviata un'email contenente il codice di ripristino.
  6. Le copie utente reimpostano il codice dall'email e lo incolla nel sito protetto

La cosa più importante che puoi fare per prevenire gli attacchi di phishing è regolarmente e continuamente ricordare agli utenti di non fare mai clic sui link nelle e-mail. Questo dovrebbe essere fatto sia in tutte le tue comunicazioni e-mail che nel login al sito. Dovresti anche avere un indirizzo email dedicato come [email protected] e pubblicizzarlo in tutte le comunicazioni via email. Ciò non impedirà le e-mail di phishing, ma potrebbe avvisarti in anticipo di un attacco.

    
risposta data 03.07.2015 - 18:37
fonte
1

1) Puoi firmare digitalmente l'email, quindi sembrerà più affidabile (se l'app di posta lo supporta e non lo mostra come allegato).

2) È non l'idea migliore per includere i link nell'email. È meglio dare loro istruzioni su come fare il cambiamento e dove. Inoltre, lo strumento per la modifica della password deve trovarsi sull'URL della tua azienda che conosce e di cui ti fidi.

3) Questa email dovrebbe derivare dall'indirizzo della tua azienda che è stabilito per la tua azienda e che i clienti si fidano di esso. (con questo intendo se usi [email protected], quindi non crei [email protected] ecc.)

4) Aggiungi un footer di scansione di alcuni antivirus . Ad esempio, questo aggiunge Avast:

5)Questaemaildovrebbecontenerelogodellatuaaziendaetipicafirmadell'azienda.

6)Sehaiqualcosachepuoiusareperdireagliutentichedovrebberoaspettarsiquestamailedaqualeindirizzo,fallo.Includianchequestolinkaquestomessaggioognituapassword,inmodochegliutentipossanoconvalidarlo.

7)IMPORTANTE:impostaunrecordSPF,quindisel'[email protected]'indirizzodelmittente,verràcontrassegnatoosoppresso.Incasocontrario,l'attaccantepuòutilizzarealcuni"falsi mailer". Eccone uno ad esempio: il falso mailer di Emkei

    
risposta data 02.07.2015 - 22:39
fonte

Leggi altre domande sui tag