È sicuro inviare un link per il recupero della password per l'applicazione aziendale all'indirizzo personale di un dipendente?

Naviga le tue risposte
1

Vorrei automatizzare il recupero della password per i dipendenti di un'azienda. Tuttavia, il problema è che non tutti i dipendenti hanno un account e-mail aziendale e alcuni dipendenti non possono accedere alla loro e-mail aziendale, se hanno dimenticato la loro password.

È consigliabile inviare un link per il recupero della password per un'applicazione aziendale a un indirizzo email personale dei dipendenti?

Esiste un altro metodo per automatizzare il recupero di una password in questo scenario?

    
posta Eloy Roldán Paredes 04.06.2016 - 11:27
fonte

3 risposte

3

Il problema di affidarsi agli account di posta elettronica personali è che non hai alcun controllo su quanto bene siano gestiti. Quanti dei tuoi dipendenti hanno "abc123" come password per il loro account di posta elettronica? Vuoi fare affidamento su questo per la sicurezza della tua email aziendale?

Un'opzione migliore sarebbe quella di consentire ai manager di reimpostare le password per i propri dipendenti. La maggior parte delle persone non ha il numero di telefono dell'IT a portata di mano ma probabilmente ha il numero del proprio capo.

Lascia che il gestore imposti una nuova password e richieda al dipendente di cambiarlo al primo accesso.

Questo aiuta anche a risolvere il problema di identificazione. Dubito che il tuo team IT sarebbe in grado di verificare tutti i dipendenti per voce o vista, ma un manager riconoscerà le persone che gestiscono ogni giorno.

    
risposta data 07.06.2016 - 17:52
fonte
1

Il recupero della password è difficile da mantenere completamente sicuro tramite e-mail e sembra che un account personale sia l'unica opzione disponibile per te. come @ andré-borie menzionato nei commenti sopra, una verifica fisica e la visualizzazione di un ID immagine è il metodo più sicuro ma non è sempre possibile per i lavoratori remoti.

Ci sono alcune cose che puoi fare per rendere più sicuro il processo di ripristino:

  • Consenti solo i ripristini dagli indirizzi IP dell'azienda
  • Richiedi una domanda segreta, un numero identificativo dell'azienda, ecc.
  • registra tutti i tentativi di reimpostazione delle password
  • Invia una notifica al cellulare dell'utente sulla richiesta di ripristino
  • Dopo il ripristino, invia un'email o una notifica sul dispositivo mobile che il ripristino è stato completato
risposta data 06.06.2016 - 22:22
fonte
1

Suggerimenti di sicurezza di base:

1) Fai 3 domande segrete. Di solito, le domande segrete autodefinite sono deboli, quindi l'azienda dovrebbe predefinirle e consentire all'utente di scegliere da un elenco di domande.

2) Registra i tentativi di reimpostazione della password e procedi come impedire che i metodi di forza bruta funzionino. È necessario bloccare automaticamente il proprio account dopo alcuni tentativi non riusciti.

3) Invia notifica via email all'utente dopo il ripristino.

Suggerimenti per la sicurezza avanzati:

4) Usa password monouso per maggiore sicurezza. Ci sono buone e sicure applicazioni mobili per questo.

5) Limitare l'accesso a tale applicazione solo dalla rete aziendale. Se il dipendente lavora da casa, costringilo a utilizzare la VPN aziendale.

6) Inoltre, invia una notifica al proprio responsabile dopo un reset riuscito.

    
risposta data 07.06.2016 - 13:15
fonte

Leggi altre domande sui tag

XSS con attributo di stile background-image Scansione delle vulnerabilità e fuzzing di un'applicazione web