Restablecer enlaces en correos electrónicos de caducidad de contraseña

4

Nuestra organización está implementando la caducidad anual de la contraseña para nuestros más de 40,000 usuarios este otoño y hemos estado socializando este cambio desde hace algún tiempo. Sin embargo, al ser una organización tan grande, nuestros usuarios también son bombardeados constantemente con correos electrónicos de suplantación de identidad. Nuestra regla de oro que le decimos a nuestros usuarios es "No haga clic en los enlaces en correos electrónicos que no esperaba".

Sin embargo, ahora que estamos implementando la caducidad de la contraseña, estamos planeando enviar correos electrónicos a los usuarios cuyas contraseñas caducarán pronto para instarlos a cambiar su contraseña.

Los correos electrónicos:

  • Están bien de marca y se ven profesionales
  • Identifique personalmente al usuario con su nombre de usuario y un número de identificación interno (aunque no completamente privado)
  • Explique claramente qué está sucediendo y qué medidas debe tomar
  • Contiene los encabezados adecuados que identifican que el servidor de correo electrónico de envío es de nuestra organización para usuarios avanzados (por ejemplo, no los enviamos desde fuera del sitio)

Sin embargo, para hacer la vida mucho más fácil para los usuarios, tenemos un par de enlaces en los correos electrónicos:

  • Un enlace a nuestra documentación para la caducidad de la contraseña en nuestro sitio web
  • Un enlace a la aplicación de restablecimiento de contraseña real
  • Un enlace a la aplicación de recuperación de contraseña (para contraseñas perdidas)

También hay una mini guía sobre cómo identificar sitios confiables al verificar la URL y el certificado SSL, y cuando tenga dudas para escribir la dirección en nuestra página de inicio, luego siga los enlaces.

Mi pregunta es:

¿Existe alguna legitimidad que podamos agregar al correo electrónico de caducidad de la contraseña para que los usuarios puedan confiar en este correo electrónico (que probablemente no esperaban) y hacer clic en los enlaces, o deberíamos deshacernos de los enlaces y simplemente informarles a los usuarios? ¿Para realizar el proceso ellos mismos en lugar de hacer clic en un botón conveniente en el correo electrónico?

    
pregunta Resorath 02.07.2015 - 22:10
fuente

2 respuestas

4

La respuesta corta es no. Seguro que puedes hacer que tu correo electrónico tenga un aspecto muy legítimo, ese no es el problema. El problema es que está acondicionando a sus usuarios para que hagan clic en los enlaces de los correos electrónicos y el correo electrónico es un medio 100% inseguro. Los enlaces en los correos electrónicos son un anti-patrón.

"Mirada oficial" no es seguro. Casi todo en su correo electrónico puede ser replicado por un atacante dedicado. Si usted es mycompany.com, un atacante que use myc0mpany.com casi con toda seguridad phisheará un porcentaje significativo de sus usuarios. El atacante también puede usar SSL y SPF. Lo que significa algunas cosas muy sutiles que no son identificadores fuertes.

Está claro que has pensado un poco en esto. Cosas como identificar al usuario por nombre de usuario agrega legitimidad, pero ¿la mayoría de ellos notaría si otro correo electrónico de "usted" no lo hiciera? Como experimento, si envía un correo electrónico similar a un grupo de prueba sin esos refuerzos de legitimidad adicionales o desde un dominio falso (myc0mpany.com), supongo que verá una tasa de clics que es casi tan alta.

Ahora, si tus jefes te presionan para que utilices enlaces bien, ciertamente lo entiendo. Como industria, hemos hecho un trabajo increíblemente bueno al condicionar a todos, desde los usuarios finales hasta los responsables de las políticas, a que esperen este antipatrón. Sin embargo si puedes, da un paso atrás. ¿Por qué necesita un enlace en el correo electrónico?

¿Por qué no puedes manejar el restablecimiento de contraseña en el próximo inicio de sesión? Envíe un correo electrónico a los usuarios informándoles que deberán restablecer su contraseña en el próximo inicio de sesión. Puede incluir una captura de pantalla de un navegador (con url) y la página de inicio de sesión si cree que los usuarios no pueden llegar a la pantalla de inicio de sesión sin un enlace directo (inseguro).

Además, no implementaría un restablecimiento de contraseña a los 40,000 usuarios a la vez. Manéjelo en lotes y tómese el tiempo entre lotes para obtener comentarios.

Incluso para las contraseñas perdidas no es necesario incluir enlaces en los correos electrónicos.

  1. El usuario del sitio web intenta iniciar sesión y no puede.
  2. El usuario hace clic en la contraseña olvidada y completa cualquier requisito de identificación alternativo.
  3. El lado del servidor genera el código de restablecimiento, actualiza el registro del usuario en db para almacenar el estado de la cuenta (restablecer), almacena el código de restablecimiento y caducidad.
  4. Enviar correo electrónico al usuario que contiene el código de restablecimiento (sin enlaces).
  5. La página se carga para indicar al usuario que se ha enviado un correo electrónico con un código de restablecimiento.
  6. El usuario copia el código de restablecimiento del correo electrónico y lo pega en el sitio seguro

Lo más importante que puede hacer para evitar los ataques de phishing es recordar regularmente a los usuarios que nunca hagan clic en los enlaces de los correos electrónicos. Esto debe hacerse tanto en todas sus comunicaciones por correo electrónico como en el inicio de sesión del sitio web. También debe tener una dirección de correo electrónico dedicada como [email protected] y anunciarla en todas las comunicaciones por correo electrónico. Esto no evitará los correos electrónicos de suplantación de identidad, pero puede alertarle sobre un ataque anterior.

    
respondido por el Gerald Davis 03.07.2015 - 18:37
fuente
1

1) Puede firmar digitalmente el correo electrónico, por lo que se verá más confiable (si la aplicación de correo lo admite y no lo muestra solo como archivo adjunto).

2) No es la mejor idea incluir enlaces en el correo electrónico. Es mejor darles instrucciones sobre cómo hacer el cambio y dónde. Además, la herramienta de cambio de contraseña debe estar en la URL de su empresa que ellos conocen y confían en ella.

3) Este correo electrónico debe provenir de la dirección de su empresa establecida para su empresa y los clientes confían en ella. (con esto quiero decir que si está utilizando [email protected], entonces no cree contraseñ[email protected] etc.)

4) Agregue un pie de página de algún software antivirus . Por ejemplo, esto agrega Avast:

5)Estecorreoelectrónicodebecontenerellogotipodesuempresaylatípicafirmadelaempresa.

6)Sitienealgoquepuedeusarparaindicaralosusuariosquedebenesperarestecorreoydequédirección,hágalo.Incluyatambiénesteenlaceacadaunodesusmensajesdecontraseña,paraquelosusuariospuedanvalidarlo.

7)IMPORTANTE:configureunregistroSPF,porlotanto,sielatacanteenvíacorreoselectró[email protected]óndelremitente,semarcaráoeliminará.Sino,elatacantepuedeusaralgunosdelos"correos falsos". Aquí hay uno por ejemplo: correo falso de Emkei

    
respondido por el Vilican 02.07.2015 - 22:39
fuente

Lea otras preguntas en las etiquetas