Convincere i colleghi che la reimpostazione delle password per conto degli utenti è pericolosa

Naviga le tue risposte
3

Abbiamo un'applicazione web che richiede agli utenti di accedere con nome utente e password. Abbiamo una funzione di reimpostazione della password per gli utenti che segue più o meno con successo le linee guida delineate da Troy Hunt in questo articolo , con 1 eccezione importante, abbiamo un link debole:

Abbiamo un portale di amministrazione con una funzione che genera una password temporanea e la visualizza sullo schermo per l'Admin è stata aggiunta, con la consapevolezza che questo deve essere letto al telefono, piuttosto che via email. Per essere chiari, un amministratore ha anche la possibilità di richiedere un'email di reimpostazione della password per conto dell'utente (e inviata all'email registrata dell'utente), ma non viene mai utilizzata.

Abbiamo molti utenti che non sono molto informatici, e alcuni di loro faticano a creare / reimpostare una password da soli (nonostante i requisiti della password siano chiaramente segnalati prima l'utente inserisce la nuova password ). Per rendere più facile il loro lavoro, i nostri ragazzi hanno deciso di utilizzare questa password temporanea per reimpostare la password da sé a variazioni sulla stessa password comune e leggerla per telefono. Ritengo che questo sia un rischio inaccettabile per la sicurezza.

Ho cercato di convincerli che se un amministratore può reimpostare una password, non è possibile identificare realmente un utente. Un utente avrebbe carta bianca per dire "Non sono stato io" a qualsiasi azione eseguita dopo che un amministratore ha impostato la sua password, ma non sono convinti che ciò superi la maggiore difficoltà che dovrebbero affrontare. Ho provato a convincerli che reimpostare la password di chiunque richieda la stessa password generica rende gli account molto più facili da compromettere, ancora nessun dado.

Ho pensato che un argomento legale possa avere più peso (basato sul Regno Unito, quindi il GDPR potrebbe essere un fattore), ma non ho le conoscenze per spiegare perché (se?) ciò sarebbe in violazione.

Un'altra alternativa potrebbe essere quella di compromettere qualcos'altro (forse ridurre i requisiti di complessità della password, sebbene non ritenga che siano onerosi ora) per mitigare l'impatto della rimozione di questa funzionalità.

I miei colleghi e il management non sono esperti di sicurezza IT. Come posso convincerli che questo non è uno stato di cose accettabile e comporta rischi per loro personalmente e per l'azienda? In alternativa, c'è qualche compromesso ragionevolmente sicuro che potrei offrire?

    
posta Slappywag 05.01.2018 - 14:13
fonte

1 risposta

3

GDPR

GDPR si applica nel senso che le password degli utenti rientrano nella sezione "dati personali" e deve essere gestita correttamente in linea con le ragionevoli esigenze aziendali per l'elaborazione della password. Ciò offre alla tua azienda un sacco di spazio interpretativo.

Valutazione del rischio: impatti

In quanto professionista IT, non è tuo dovere battere le persone in testa con le "migliori pratiche". È tuo compito conoscere le migliori pratiche e comprenderne l'impatto e quindi comunicare i rischi coinvolti in qualsiasi direzione.

but they're not convinced that this outweighs the extra difficulty they would face

È interamente possibile che stiano valutando correttamente questo. Potrebbero non esserlo, ma considerano la possibilità che lo siano e dimostrino la correttezza della loro valutazione. I dati e il servizio hanno un valore così basso che l'esperienza dell'utente ha un valore più alto? Se è così, allora sono corretti.

we can't truly identify a user

Hai bisogno? Qual è l'impatto se non puoi? Se l'impatto è basso e alla fine non ne hai bisogno, allora sono corretti.

makes accounts much easier to compromise

Importa se gli account sono compromessi? Quanto ha importanza? Di nuovo, se non ha importanza, non troverai un modo per convincere qualcuno del valore del tuo punto di vista perché non ha alcun valore.

Le password che vengono distribuite sono tecnicamente " password temporanee " e non riesco a immaginare un team di gestione che voglia spendere una quantità di tempo o energia per rafforzare questo processo. C'è così poco valore.

Valutazione del rischio: verosimiglianza

Ma cosa succede se il valore è alto e non stanno ancora prendendo sul serio il tuo punto di vista?

Sospetto che le persone con cui stai parlando stiano facendo il proprio calcolo del rischio nelle loro teste. Il rischio è spesso definito come la relazione tra probabilità e impatto (rischio = probabilità x impatto). Se riesci a mostrare l'impatto elevato, ma valutano ancora il rischio a un livello basso, probabilmente pensano che la probabilità sia bassa.

  • "Confidiamo nei nostri amministratori."
  • "I nostri clienti non sono abbastanza esperti per tentare di hackerare il sistema."
  • "Non siamo abbastanza importanti per gli hacker."
  • "Non siamo stati hackerati prima."
  • ecc.

Se questo è vero, allora hai una dura battaglia perché stai combattendo contro le emozioni, la psicologia e i pregiudizi cognitivi. Stai anche combattendo qualcosa di concettuale e molto difficile da calcolare obiettivamente. Il rischio InfoSec è notoriamente difficile da valutare (ho fatto una serie di discorsi e articoli sull'argomento).

Sfortunatamente per i tuoi clienti, tutto ciò che può richiedere è un brutto incidente per il management per capovolgere la loro comprensione della verosimiglianza. Ecco perché i test di penetrazione e gli audit di sicurezza possono essere utili. Possono agire come eventi simulati che possono aiutare a quantificare le probabilità.

Il rischio è una decisione di gestione

Per quanto sia difficile da ascoltare, il rischio è una decisione di gestione. Se decidono, con tutte le tue informazioni, che il rischio è basso, allora è quello. Se ritieni che il rischio sia ancora elevato, inizia a pianificare come mitigare il rischio quando si verifica in modo da proteggere sia la tua azienda che i tuoi clienti, ma sappi che probabilmente non avrai tempo o budget per sviluppare tali attenuazioni. Ti sembrerà molto buono se hai una soluzione pre-fatta, però, quando accadono cose brutte.

Il tuo lavoro

In breve, se vuoi convincerli dei rischi, devi definire i rischi in termini comprensibili . Potrebbe volerci del tempo per capire che valore hanno, ma questo diventa il tuo lavoro; capire i rischi e imparare come comunicare i rischi a coloro che non capiscono . Questo è il vero peso della sicurezza delle informazioni.

    
risposta data 05.01.2018 - 14:51
fonte

Leggi altre domande sui tag

Il blocco di JavaScript e il caricamento disabilitato degli allegati incorporati rendono relativamente sicura l'email HTML? Sono Meltdown e Spectre complementari e usati insieme