Una vez que la cuenta de un usuario está bloqueada y un administrador la desbloquea, ¿se le debe solicitar al usuario que restablezca su contraseña? ¿O deberían poder iniciar sesión sin cambiar su contraseña?
La mejor práctica es, primero, verificar que la persona que solicita el desbloqueo es el propietario de la cuenta. Esto puede ser complicado ya que es la fuente de muchos ataques de ingeniería social (en estos días es bastante sencillo encontrar información de identificación personal para un objetivo). Si esto es para un usuario corporativo interno, a menudo he visto cosas como el Número de empleado usado (esto es decente porque no es algo que un atacante normalmente tendría), pero también recomiendo usar otro factor, por ejemplo. llamar al teléfono celular del usuario o enviar un correo electrónico a una cuenta secundaria para su verificación.
Una vez que se verifica al usuario, el administrador debe solicitar más información sobre el bloqueo: ¿causaron el problema o fue causado por un ataque? Si es causado por un atacante, extienda el problema al equipo de seguridad de la información, que debería trabajar en la recopilación de información adicional sobre el ataque y tomar medidas para prevenir futuros ataques.
Suponiendo que la cuenta estaba bloqueada, supongo que no estaba comprometida. Por lo tanto, no debería haber una necesidad inmediata de restablecer la contraseña.
Recomendaría algunos pasos adicionales:
Nota * : mencionaste que el administrador desbloquea la cuenta. Esto esta bien. Sin embargo, es mejor si este procedimiento de desbloqueo también lo puede hacer el propio usuario. Esto se debe a que un atacante puede activar el bloqueo de cuenta para múltiples usuarios y si el administrador se desbloquea para todos ellos, sería engorroso.
Algunas formas en las que se podría pensar en el auto-desbloqueo son:
Para ir aún más lejos, considere eliminar el bloqueo de cuenta. En su lugar, simplemente agregue algunos retrasos entre los intentos de inicio de sesión posteriores. Como: Captcha, o 5 segundos de retraso, etc.
Lea otras preguntas en las etiquetas account-security