Abbiamo un'applicazione web che richiede agli utenti di accedere con nome utente e password. Abbiamo una funzione di reimpostazione della password per gli utenti che segue più o meno con successo le linee guida delineate da Troy Hunt in questo articolo , con 1 eccezione importante, abbiamo un link debole:
Abbiamo un portale di amministrazione con una funzione che genera una password temporanea e la visualizza sullo schermo per l'Admin è stata aggiunta, con la consapevolezza che questo deve essere letto al telefono, piuttosto che via email. Per essere chiari, un amministratore ha anche la possibilità di richiedere un'email di reimpostazione della password per conto dell'utente (e inviata all'email registrata dell'utente), ma non viene mai utilizzata.
Abbiamo molti utenti che non sono molto informatici, e alcuni di loro faticano a creare / reimpostare una password da soli (nonostante i requisiti della password siano chiaramente segnalati prima l'utente inserisce la nuova password ). Per rendere più facile il loro lavoro, i nostri ragazzi hanno deciso di utilizzare questa password temporanea per reimpostare la password da sé a variazioni sulla stessa password comune e leggerla per telefono. Ritengo che questo sia un rischio inaccettabile per la sicurezza.
Ho cercato di convincerli che se un amministratore può reimpostare una password, non è possibile identificare realmente un utente. Un utente avrebbe carta bianca per dire "Non sono stato io" a qualsiasi azione eseguita dopo che un amministratore ha impostato la sua password, ma non sono convinti che ciò superi la maggiore difficoltà che dovrebbero affrontare. Ho provato a convincerli che reimpostare la password di chiunque richieda la stessa password generica rende gli account molto più facili da compromettere, ancora nessun dado.
Ho pensato che un argomento legale possa avere più peso (basato sul Regno Unito, quindi il GDPR potrebbe essere un fattore), ma non ho le conoscenze per spiegare perché (se?) ciò sarebbe in violazione.
Un'altra alternativa potrebbe essere quella di compromettere qualcos'altro (forse ridurre i requisiti di complessità della password, sebbene non ritenga che siano onerosi ora) per mitigare l'impatto della rimozione di questa funzionalità.
I miei colleghi e il management non sono esperti di sicurezza IT. Come posso convincerli che questo non è uno stato di cose accettabile e comporta rischi per loro personalmente e per l'azienda? In alternativa, c'è qualche compromesso ragionevolmente sicuro che potrei offrire?