Dopo che l'account di un utente è bloccato e un amministratore va a sbloccarlo, dovrebbe essere richiesto all'utente di reimpostare la propria password? O dovrebbero solo essere in grado di accedere senza cambiare la loro password?
La best practice è, in primo luogo, verificare che la persona che richiede lo sblocco sia il proprietario dell'account. Questo può essere complicato in quanto è la fonte di molti attacchi di social engineering (in questi giorni è abbastanza semplice trovare informazioni di identificazione personale per un target). Se questo è per un utente interno aziendale, spesso ho visto cose come il numero impiegato (questo è accettabile perché non è qualcosa che un utente malintenzionato normalmente ha), ma raccomanderei anche di usare un altro fattore, ad es. chiamare il cellulare dell'utente o inviare via email un account secondario per la verifica.
Una volta verificato l'utente, l'amministratore dovrebbe richiedere ulteriori informazioni sul blocco: hanno causato il problema o è stato causato da un attacco? Se causato da un utente malintenzionato, inoltrare il problema al team di sicurezza delle informazioni, che dovrebbe lavorare sulla raccolta di ulteriori informazioni sull'attacco e adottare misure per prevenire futuri attacchi.
Supponendo che l'account fosse bloccato, suppongo che non sia stato compromesso. Quindi, non dovrebbe esserci alcuna necessità immediata di reimpostare la password.
Vorrei raccomandare alcuni passaggi aggiuntivi:
Nota * : hai accennato che l'amministratore sblocca l'account. Questo va bene. Tuttavia, è meglio se questa procedura di sblocco può essere eseguita dall'utente stesso. Questo perché un utente malintenzionato può attivare il blocco dell'account per più utenti e se l'amministratore lo sblocca per tutti, sarebbe ingombrante.
Alcuni modi in cui si può pensare al self-unlock sono:
Per andare ancora oltre, prova a rimuovere lo stesso account-lock. Piuttosto, aggiungi solo alcuni ritardi tra i successivi tentativi di accesso. Ad esempio: captcha o ritardo di 5 secondi, ecc.
Leggi altre domande sui tag account-security