convencer a los colegas de que restablecer las contraseñas en nombre de los usuarios es peligroso

Navega tus respuestas
3

Tenemos una aplicación web que requiere que los usuarios inicien sesión con nombre de usuario y contraseña. Tenemos una función de restablecimiento de contraseña para los usuarios que sigue más o menos correctamente las pautas descritas por Troy Hunt en este artículo , con 1 excepción importante, tenemos un enlace débil:

Tenemos un portal de administración con una función que genera una contraseña temporal y la muestra en la pantalla al administrador. Se agregó que el administrador se debe leer por teléfono, en lugar de enviarlo por correo electrónico. Para ser claros, un administrador también tiene la capacidad de solicitar un correo electrónico para restablecer la contraseña en nombre del usuario (y se envía al correo electrónico registrado del usuario), pero nunca se usa.

Tenemos muchos usuarios que no son muy expertos en computación, y algunos de ellos luchan por crear / restablecer una contraseña por sí mismos (a pesar de que los requisitos de la contraseña están claramente señalizados antes , el usuario ingresa la nueva contraseña ). Para hacer su trabajo más fácil, nuestros muchachos han optado por utilizar esta contraseña temporal para restablecer la contraseña por sí mismos a las variaciones en la misma contraseña común y leerla por teléfono. Creo que esto es un riesgo de seguridad inaceptable.

He intentado convencerlos de que si un administrador puede restablecer una contraseña, no podemos identificar realmente a un usuario. Un usuario tendría carta blanca para decir "No fui yo" a cualquier acción que realice después de que un administrador haya establecido su contraseña, pero no están convencidos de que esto supere la dificultad adicional a la que se enfrentan. He intentado convencerlos de que restablecer la contraseña de cualquiera que solicite la misma contraseña genérica hace que las cuentas sean mucho más fáciles de comprometer, de nuevo sin dados.

Pensé que un argumento legal podría tener más peso (basado en el Reino Unido, por lo que GDPR puede ser un factor), pero no tengo el conocimiento para explicar por qué (¿si?) esto podría estar en violación.

Otra alternativa puede ser comprometerse con otra cosa (tal vez reducir los requisitos de complejidad de las contraseñas, aunque no creo que sean onerosas ahora) para mitigar el impacto de la eliminación de esta función.

Mis colegas y la gerencia no están del todo informados de la seguridad de TI. ¿Cómo puedo convencerlos de que esto no es una situación aceptable y conlleva riesgos para ellos personalmente y para la empresa? Alternativamente, ¿hay compromisos razonablemente seguros que podría ofrecer?

    
pregunta Slappywag 05.01.2018 - 14:13
fuente

1 respuesta

3

GDPR

GDPR se aplica en el sentido de que las contraseñas de los usuarios se encuentran en la sección de "datos personales" y deben manejarse adecuadamente de acuerdo con la necesidad comercial razonable de procesar la contraseña. Eso le da a su compañía un gran margen de maniobra interpretativa.

Evaluación de riesgos: impactos

Como profesional de TI, no es su deber vencer a las personas con las "mejores prácticas". Es su trabajo conocer las mejores prácticas y comprender su impacto, y luego comunicar a los risks involucrados en tomar cualquier dirección.

  

pero no están convencidos de que esto supere la dificultad adicional   se enfrentarían

Es completamente posible que estén evaluando esto correctamente. Puede que no lo sean, pero considere la posibilidad de que lo sean y demuestre la exactitud de su evaluación. ¿Son los datos y el servicio de un valor tan bajo que la experiencia del usuario tiene un valor más alto? Si es así, entonces son correctos.

  

no podemos identificar realmente a un usuario

¿Necesitas? ¿Cuál es el impacto si no puedes? Si el impacto es bajo y, en última instancia, no es necesario, entonces son correctos.

  

hace que las cuentas sean mucho más fáciles de comprometer

¿Importa si las cuentas están comprometidas? ¿Cuánto importa? Nuevamente, si no importa, entonces no encontrará una manera de convencer a nadie del valor de su punto de vista porque no tiene ningún valor.

Las contraseñas que se entregan son técnicamente " contraseñas temporales " y no puedo imaginar a ningún equipo de administración que quiera dedicar una cantidad de tiempo o energía a fortalecer este proceso. Hay tan poco valor.

Evaluación de riesgos: probabilidad

Pero, ¿qué pasa si el valor es muy alto y todavía no están tomando en serio su punto de vista?

Sospecho que las personas con las que estás hablando están haciendo sus propios cálculos de riesgo en sus cabezas. El riesgo a menudo se define como la relación entre la probabilidad y el impacto (riesgo = probabilidad x impacto). Si puede mostrar el alto impacto, pero aún evalúan el riesgo como bajo, entonces probablemente estén pensando que la probabilidad es baja.

  • "Confiamos en nuestros administradores".
  • "Nuestros clientes no son lo suficientemente inteligentes como para intentar piratear el sistema".
  • "No somos lo suficientemente grandes o importantes para que los hackers estén interesados".
  • "No hemos sido hackeados antes".
  • etc.

Si esto es cierto, entonces tienes una batalla cuesta arriba porque estás luchando contra la emoción, la psicología y los prejuicios cognitivos. También estás luchando contra algo que es conceptual y muy difícil de calcular objetivamente. InfoSec Risk es muy difícil de evaluar (he realizado varias charlas y artículos sobre el tema).

Desafortunadamente para sus clientes, todo lo que puede tomar es un incidente grave para que la gerencia cambie su comprensión de la probabilidad. Es por eso que las pruebas de penetración y las auditorías de seguridad pueden ser útiles. Pueden actuar como eventos simulados que pueden ayudar a cuantificar las probabilidades.

El riesgo es una decisión de la gerencia

Por difícil que sea escucharlo, el riesgo es una decisión de la gerencia. Si deciden, con toda su información, que el riesgo es bajo, eso es todo. Si cree que el riesgo sigue siendo alto, entonces comience a planificar cómo mitigar el riesgo cuando suceda para que pueda proteger tanto a su empresa como a sus clientes, pero sepa que probablemente no obtendrá tiempo ni presupuesto para desarrollar esas mitigaciones. Sin embargo, te verás muy bien si tienes una solución prefabricada cuando suceden cosas malas.

Tu trabajo

En resumen, si desea convencerlos de los riesgos, debe definir los riesgos en términos que ellos entiendan . Puede tomar algo de tiempo saber qué valoran, pero eso se convierte en su trabajo; comprenda los riesgos usted mismo y aprenda cómo comunicar los riesgos a aquellos que no entienden . Esta es la verdadera carga de la seguridad de la información.

    
respondido por el schroeder 05.01.2018 - 14:51
fuente

Lea otras preguntas en las etiquetas

Reduciendo la resolución de los temporizadores como mitigación contra Meltdown y Specter ¿El bloqueo de JavaScript y la carga deshabilitada de archivos adjuntos incrustados hacen que un correo electrónico HTML sea relativamente seguro?