¿Es seguro enviar un enlace de recuperación de contraseña para la aplicación de la compañía a la dirección de correo electrónico personal de un empleado?

Navega tus respuestas
1

Me gustaría automatizar la recuperación de la contraseña para los empleados de una empresa. Sin embargo, el problema es que no todos los empleados tienen una cuenta de correo electrónico corporativo y algunos empleados no pueden acceder a su correo electrónico corporativo, si han olvidado su contraseña.

¿Se recomienda enviar un enlace de recuperación de contraseña para una aplicación de la empresa a la dirección de correo electrónico personal de un empleado?

¿Hay otro método para automatizar la recuperación de una contraseña en este escenario?

    
pregunta Eloy Roldán Paredes 04.06.2016 - 11:27
fuente

3 respuestas

3

El problema de confiar en las cuentas de correo electrónico personales es que no tiene ningún control sobre la forma en que se administran. ¿Cuántos de sus empleados tienen "abc123" como contraseña para su cuenta de correo electrónico? ¿Desea confiar en eso para la seguridad de su correo electrónico corporativo?

Una mejor opción sería permitir a los administradores restablecer las contraseñas de sus empleados. La mayoría de las personas no tendrán a mano el número de teléfono de TI, pero probablemente tengan el número de su jefe.

Deje que el administrador establezca una nueva contraseña y luego solicite al empleado que la cambie la primera vez que inicie sesión.

Esto también ayuda a resolver el problema de identificación. Dudo que su equipo de TI pueda verificar a todos los empleados por voz o vista, pero un gerente reconocerá a las personas que administran todos los días.

    
respondido por el u2702 07.06.2016 - 17:52
fuente
1

La recuperación de la contraseña es difícil de mantener completamente segura a través del correo electrónico y parece que una cuenta personal es la única opción disponible para usted. Como @andré-borie mencionó en los comentarios anteriores, una verificación física y una identificación con foto es el método más seguro pero no siempre es posible para los trabajadores remotos.

Hay algunas cosas que puede hacer para que el proceso de restablecimiento sea más seguro:

  • Permitir solo los restablecimientos de las direcciones IP de la empresa
  • Solicite una pregunta secreta, número de identificación de la compañía, etc.
  • Registrar todos los intentos de restablecer contraseñas
  • Envíe una notificación al teléfono móvil del usuario sobre la solicitud de restablecimiento
  • Después del restablecimiento, envíe un correo electrónico o notificación móvil de que se completó el restablecimiento
respondido por el Mark Burnett 06.06.2016 - 22:22
fuente
1

Consejos básicos de seguridad:

1) Haga 3 preguntas secretas. Por lo general, las preguntas secretas autodefinidas son débiles, por lo que la empresa debe predefinirlas y dejar que el usuario elija de una lista de preguntas.

2) Registre los intentos de restablecimiento de la contraseña y realice los pasos para evitar que funcionen los métodos de fuerza bruta. Debe bloquear automáticamente su cuenta después de algunos intentos fallidos.

3) Enviar una notificación por correo electrónico al usuario después del restablecimiento.

Sugerencias de seguridad avanzadas:

4) Utilice contraseñas de un solo uso para mayor seguridad. Hay buenas aplicaciones móviles seguras para esto.

5) Limite el acceso a esa aplicación solo desde la red corporativa. Si el empleado trabaja desde su casa, obligue a usar vpn corporativo.

6) También enviará una notificación a su administrador después de un restablecimiento exitoso.

    
respondido por el BlackCat 07.06.2016 - 13:15
fuente

Lea otras preguntas en las etiquetas

XSS funciona cuando guardo el HTML generado en un archivo, pero no directamente en el navegador ¿Cómo eliminar un archivo exe que probablemente sea malware?