¿Deben los usuarios administrativos confirmar su contraseña antes de cambiar una contraseña de usuario?

Este es un principio anti-patrón de privilegios mínimos. En el caso común, un botón de "restablecer contraseña" debería ser suficiente, lo que llevará a un usuario objetivo al formulario de restablecimiento de contraseña.

Pero si necesita exactamente el botón "establecer una nueva contraseña", entonces debe considerar dos vectores de ataque relevantes: CSRF y XSS. Si los mitigará bien, eso debería ser suficiente sin una autenticación adicional.

Es probable que la decisión se reduzca al perfil de usuario administrador. Para equipos de administración dedicados puede haber otros controles complementarios, como restricciones en los dispositivos que se pueden usar, fortalecimiento de dispositivos y acceso a salas de operaciones controladas para reducir el riesgo de ataques. Estos controles complementarios pueden eliminar la necesidad de requerir una nueva autenticación antes de permitir el restablecimiento de la contraseña de otra persona.

Si las responsabilidades de administrador se han transferido parcial o totalmente a usuarios de confianza entre la comunidad de usuarios, por ejemplo, en una sucursal, existe la posibilidad de que los usuarios normales o incluso miembros del público tengan acceso a los mismos dispositivos que el administrador. usuarios.

Para tratar de evitar el uso indebido de privilegios en este escenario, podría ser apropiado requerir una autenticación secundaria para asegurarse de que sigue siendo la misma persona (autorizada) que solicita el restablecimiento de la contraseña (es decir, para asegurarse de que no se haya alejado y haya dejado un máquina iniciada sesión por error).

  

Los usuarios administradores pueden cambiar la contraseña de cualquier usuario. Deberían ser   requerido para confirmar su contraseña al hacerlo?

El sitio web podría solicitar al usuario administrador su contraseña en cada cambio de configuración, incluido el restablecimiento de la contraseña para el usuario normal.
Independientemente de que esta política sea buena o mala, solo desea confirmar que el usuario correcto está realizando tareas de administración, esto es diferente en el caso de un usuario normal, donde el propósito de solicitar la contraseña actual es asegurarse de que el usuario correcto tenga acceso a la cuenta correcta. / p>     

Probablemente no sea beneficioso hacer que vuelvan a ingresar su contraseña para una acción como restablecer una contraseña de usuario : ya hizo que el usuario administrador se autentique en su sistema. Podría hacer que cada usuario ingrese su contraseña para cada acción posible y sería "más seguro", pero no de manera significativa. Además, restablecer una contraseña no es una acción especialmente sensible para que la realice un usuario administrador (no es como eliminar un recurso, por ejemplo)

Suponiendo que ya está autentificando correctamente al usuario administrador en primer lugar, y que está protegiendo de otros ataques entre sitios, esto solo abordaría dos escenarios

1. Su sitio web no cierra automáticamente la sesión de los usuarios, y un usuario administrador que inició sesión en la estación de trabajo dejó disponible para que otra persona la secuestrara físicamente: una verificación de contraseña adicional mitigaría esta vulnerabilidad (sin duda muy probable). De todos modos, debería desconectar automáticamente a los usuarios a intervalos regulares de inactividad, especialmente a los usuarios privilegiados.
2. Desea hacer que el administrador considere cuidadosamente si realmente desea realizar el restablecimiento, de manera análoga a la eliminación de un repositorio en GitHub, una máquina virtual en Azure donde debe escribir el nombre del recurso que está tratando de eliminar. Sin embargo, restablecer una contraseña generalmente no es tan importante como eliminar recursos, por lo que esto tampoco parece ser muy beneficioso en comparación con la molestia para los usuarios administrativos.

No hay mucho beneficio en ningún caso. Le servirán mejor si se asegura de que funcionen la autenticación de dos factores y se proteja contra los ataques entre sitios.

  

Los usuarios administradores pueden cambiar la contraseña de cualquier usuario. ¿Deben ser obligados a confirmar su contraseña al hacerlo?

No necesariamente. Siempre que el administrador NO tenga la capacidad de seleccionar la cadena de contraseña del usuario. El administrador podría desencadenar una acción de restablecimiento de contraseña que enviaría un correo electrónico al usuario con un enlace para restablecer su contraseña.

Si anteriormente no es posible dicho sistema y el administrador necesita restablecer la contraseña para los usuarios, entonces pedir la contraseña del administrador para cada restablecimiento de la contraseña podría ser engorroso, por ejemplo, si el administrador necesita restablecer cientos de contraseñas en un lote. Esto no sería una medida de seguridad eficiente y podría llevar a punto único de falla .