Al momento stiamo cercando di implementare una funzione di auto-ripristino della password AD sicura per i nostri utenti. Il nostro scenario è di gestire le persone che hanno dimenticato la loro password, non quelli che vogliono cambiarlo. I nostri utenti di solito si basano su postazioni remote e la maggior parte delle volte non hanno accesso a una VPN. Il nostro primo pensiero è stato quello di fornire un'interfaccia web in cui gli utenti devono autenticarsi utilizzando il loro nome utente e un fattore di autenticazione che potrebbe essere:
- Una domanda / risposta privata;
- Un OTP inviato da un messaggio di testo a un utente telefono cellulare pre-registrato;
- Un OTP incluso in un link di reimpostazione password inviato all'indirizzo email privato pre-registrato dell'utente (ad esempio Gmail).
Ma a causa di vincoli organizzativi, non possiamo fare affidamento sui messaggi di testo per inviare un OTP e non consideriamo la domanda / risposta sufficientemente sicura. Quindi rimaniamo con l'opzione email privata, che ci riguarda ancora perché:
- Il provider di posta elettronica o l'account di posta elettronica potrebbero essere compromessi;
- Il provider di posta elettronica sarà in grado di associare un'e-mail con la nostra organizzazione (a volte un problema);
- Riteniamo che aprirebbe la porta agli attacchi di phishing, andando contro la nostra comunicazione agli utenti dicendo che non dovrebbero mai e poi mai aprire un link che finge di provenire dall'organizzazione su un indirizzo email privato.
Quindi esiste un modo per consentire agli utenti di reimpostare la propria password di AD senza utilizzare messaggi di testo o e-mail private e senza utilizzare una soluzione commerciale (a pagamento)?