Funzionalità Active Directory "Password dimenticata" senza email o testo

1

Al momento stiamo cercando di implementare una funzione di auto-ripristino della password AD sicura per i nostri utenti. Il nostro scenario è di gestire le persone che hanno dimenticato la loro password, non quelli che vogliono cambiarlo. I nostri utenti di solito si basano su postazioni remote e la maggior parte delle volte non hanno accesso a una VPN. Il nostro primo pensiero è stato quello di fornire un'interfaccia web in cui gli utenti devono autenticarsi utilizzando il loro nome utente e un fattore di autenticazione che potrebbe essere:

  • Una domanda / risposta privata;
  • Un OTP inviato da un messaggio di testo a un utente telefono cellulare pre-registrato;
  • Un OTP incluso in un link di reimpostazione password inviato all'indirizzo email privato pre-registrato dell'utente (ad esempio Gmail).

Ma a causa di vincoli organizzativi, non possiamo fare affidamento sui messaggi di testo per inviare un OTP e non consideriamo la domanda / risposta sufficientemente sicura. Quindi rimaniamo con l'opzione email privata, che ci riguarda ancora perché:

  • Il provider di posta elettronica o l'account di posta elettronica potrebbero essere compromessi;
  • Il provider di posta elettronica sarà in grado di associare un'e-mail con la nostra organizzazione (a volte un problema);
  • Riteniamo che aprirebbe la porta agli attacchi di phishing, andando contro la nostra comunicazione agli utenti dicendo che non dovrebbero mai e poi mai aprire un link che finge di provenire dall'organizzazione su un indirizzo email privato.

Quindi esiste un modo per consentire agli utenti di reimpostare la propria password di AD senza utilizzare messaggi di testo o e-mail private e senza utilizzare una soluzione commerciale (a pagamento)?

    
posta ack__ 02.11.2016 - 12:07
fonte

2 risposte

2

Il problema è che quando un utente ha dimenticato la sua password, è necessaria una procedura speciale . La domanda / risposta privata è generalmente vista come un modo scadente, perché in genere gli utenti non ricordano quello che hanno chiesto per primo, che sia maiuscolo o minuscolo ... e se possono ricordarlo senza rischi, allora chiunque ne sia a conoscenza potrebbe rispondi anche tu ... Ad ogni modo tu dici che non lo trovi abbastanza sicuro.

Ma se vuoi qualcos'altro , devi trovare un altro canale . Quelli comuni includono un indirizzo di posta secondario (detto in modo diverso un'identità identificabile secondaria) = > qualcosa che conosci e un messaggio di testo su un telefono cellulare (qualcosa che hai) - e riesco a malapena a immaginare gli altri. Idealmente, se i tuoi requisiti di sicurezza sono medio-alti, puoi combinarli entrambi:

  • quando un utente ha dimenticato la sua password, chiede una procedura di reset (su una pagina HTTP semi-pubblica - nessuna autenticazione qui)
  • gli mandi un unico token sulla sua posta privata (nessun collegamento per non rompere la pubblicità anti-phishing ...)
  • gli invii un secondo token unico sul suo telefono con un messaggio di testo
  • quando ha entrambi, si collega alla pagina di reset, digita il suo id, i 2 token e la nuova password che desidera - la password deve essere digitato due volte per evitare errori di battitura

In questo modo se la posta del telefono è stata compromessa o se uno dei messaggi è intecepted, un utente malintenzionato non dispone di informazioni sufficienti per reimpostare la password. Ma devo ammettere che gli utenti potrebbero trovare complesso ...

    
risposta data 02.11.2016 - 15:51
fonte
1

Qualunque cosa tu scelga, dovresti considerare l'autenticazione a più fattori per renderla più sicura, considerando che è la password del dominio per il dominio della tua azienda. Come fare biometrico nel tuo scenario sembra più difficile (anche se potrebbe essere un'opzione tramite smartphone, ma non tutti gli utenti avranno uno smartphone con un lettore di impronte digitali), puoi andare con qualcosa che hai e qualcosa che conosci.

In pratica, questa potrebbe essere una domanda-risposta e una OTP con un algoritmo ben noto, come HOTP o TOTP. Molte app mobili possono essere scaricate praticamente su tutte le piattaforme mobili allo scopo di generare OTP standard e gli utenti devono registrarsi solo caricando il loro segreto nell'app, principalmente leggendo un codice QR per l'impostazione automatica.

In questo modo, mentre un dispositivo mobile ha i suoi rischi (il malware può essere in grado di rubare l'OTP, qualcuno può impossessarsi temporaneamente del dispositivo, ecc., le solite cose), l'utente dovrebbe comunque conoscere la risposta a qualcosa.

Detto questo, molti utenti odiano le domande di sicurezza. Inoltre, non sono molto sicuri come hai detto, ma forse averlo insieme a un'app mobile OTP soddisferà le tue esigenze.

Per la password del dominio di copany, beh ... non sono sicuro che lo farei comunque, è ancora un rischio relativamente alto, credo. Forse dovresti avere un supporto al telefono, dire numeri telefonici registrati per materiale IT, e quando qualcuno chiama che ha dimenticato la loro password, l'IT potrebbe richiamarli sul numero indicato per l'autenticazione (e potresti andare oltre per assicurarti se questo non è abbastanza). Ovviamente questo potrebbe non essere fattibile in molti casi, solo un pensiero.

    
risposta data 02.11.2016 - 14:18
fonte