Cosa dovrebbe accadere quando un account è sbloccato?

2

Dopo che l'account di un utente è bloccato e un amministratore va a sbloccarlo, dovrebbe essere richiesto all'utente di reimpostare la propria password? O dovrebbero solo essere in grado di accedere senza cambiare la loro password?

    
posta Tiffany 05.04.2018 - 18:27
fonte

2 risposte

2

La best practice è, in primo luogo, verificare che la persona che richiede lo sblocco sia il proprietario dell'account. Questo può essere complicato in quanto è la fonte di molti attacchi di social engineering (in questi giorni è abbastanza semplice trovare informazioni di identificazione personale per un target). Se questo è per un utente interno aziendale, spesso ho visto cose come il numero impiegato (questo è accettabile perché non è qualcosa che un utente malintenzionato normalmente ha), ma raccomanderei anche di usare un altro fattore, ad es. chiamare il cellulare dell'utente o inviare via email un account secondario per la verifica.

Una volta verificato l'utente, l'amministratore dovrebbe richiedere ulteriori informazioni sul blocco: hanno causato il problema o è stato causato da un attacco? Se causato da un utente malintenzionato, inoltrare il problema al team di sicurezza delle informazioni, che dovrebbe lavorare sulla raccolta di ulteriori informazioni sull'attacco e adottare misure per prevenire futuri attacchi.

    
risposta data 05.04.2018 - 19:10
fonte
0

Supponendo che l'account fosse bloccato, suppongo che non sia stato compromesso. Quindi, non dovrebbe esserci alcuna necessità immediata di reimpostare la password.
Vorrei raccomandare alcuni passaggi aggiuntivi:

  • registra i tentativi di accesso riusciti / non riusciti e dispone di una pagina in cui l'utente può esaminarli. (Dettagli come: Browser, OS, IP, ecc. Sono utili) (questo è per il prossimo login, poiché l'utente ha l'account bloccato nel presente)
  • Se l'utente vede che le richieste di accesso recenti non sono familiari (ad esempio: non ha tentato di accedere con le specifiche del browser / os / ip mostrate), implica che è stato effettuato un attacco per quell'utente. In questi casi, puoi suggerire di aumentare il livello di sicurezza. Alcuni modi per ottenere questo sarebbe:
    • Abilita un ulteriore fattore di autenticazione. Tipo: autenticazione a 2 fattori (basata su OTP / SMS), ecc.
    • Se sopra non è supportato dal sistema, suggerire di cambiare la password in una più sicura. (come: password con una lunghezza maggiore, più casi in password, ecc.)

Nota * : hai accennato che l'amministratore sblocca l'account. Questo va bene. Tuttavia, è meglio se questa procedura di sblocco può essere eseguita dall'utente stesso. Questo perché un utente malintenzionato può attivare il blocco dell'account per più utenti e se l'amministratore lo sblocca per tutti, sarebbe ingombrante.
Alcuni modi in cui si può pensare al self-unlock sono:

  • Sblocca account quando viene attivato un ripristino della password con Password dimenticata.
  • L'intero punto di blocco dell'account è prevenire attacchi come la forza bruta. Sarebbe ok per sbloccare automaticamente dopo un certo periodo di tempo (impostato da admin)

Per andare ancora oltre, prova a rimuovere lo stesso account-lock. Piuttosto, aggiungi solo alcuni ritardi tra i successivi tentativi di accesso. Ad esempio: captcha o ritardo di 5 secondi, ecc.

    
risposta data 06.04.2018 - 05:53
fonte

Leggi altre domande sui tag