Función de "Contraseña olvidada" de Active Directory sin correo electrónico o texto

Navega tus respuestas
1

Actualmente estamos buscando implementar una función segura de restablecimiento automático de contraseñas AD para nuestros usuarios. Nuestro escenario es administrar a las personas que olvidaron su contraseña, no a aquellos que desean cambiarla. Nuestros usuarios generalmente se basan en ubicaciones remotas y la mayoría de las veces no tienen acceso a una VPN. Nuestro primer pensamiento fue proporcionar una interfaz web donde los usuarios deben autenticarse utilizando su nombre de usuario y un factor de autenticación que podría ser:

  • Una pregunta / respuesta privada;
  • Una OTP enviada por mensaje de texto a un usuario teléfono móvil pre-registrado;
  • Una OTP incluida en un enlace de restablecimiento de contraseña enviado a la dirección de correo electrónico privado previamente registrada del usuario (por ejemplo, Gmail).

Pero debido a las limitaciones de la organización, no podemos confiar en los mensajes de texto para enviar una OTP, y no consideramos que la pregunta / respuesta sea lo suficientemente segura. Así que nos quedamos con la opción de correo electrónico privado, que aún nos preocupa porque:

  • El proveedor de correo electrónico o la cuenta de correo electrónico podrían verse comprometidos;
  • El proveedor de correo electrónico podrá asociar un correo electrónico con nuestra organización (lo que puede ser un problema en ocasiones);
  • Consideramos que abriría la puerta a los ataques de phishing: ir en contra de nuestra comunicación a los usuarios diciendo que nunca deberían abrir un enlace que pretenda provenir de la organización en una dirección de correo electrónico privada.

Entonces, ¿hay una manera de permitir a los usuarios restablecer su contraseña de AD sin usar mensajes de texto o correos electrónicos privados, y sin usar una solución comercial (de pago)?

    
pregunta ack__ 02.11.2016 - 12:07
fuente

2 respuestas

2

El problema es que cuando un usuario ha olvidado su contraseña, necesita un procedimiento especial . La pregunta / respuesta privada generalmente se considera una forma deficiente, porque los usuarios generalmente no recuerdan lo que preguntaron primero, ya sea mayúscula o minúscula ... y si pueden recordarlo sin riesgo, entonces cualquiera que sepa sobre ellos podría responde también ... De todos modos, dices que no encuentras eso lo suficientemente seguro.

Pero si quieres algo más , tienes que encontrar otros canales . Los más comunes incluyen una dirección de correo secundaria (que de manera diferente es una identidad autentificable secundaria) = > algo que sabes y mensaje de texto en un teléfono móvil (algo que tienes), y casi no puedo imaginar a otros. Idealmente, si sus requisitos de seguridad son medios o altos, podría combinar ambos:

  • cuando un usuario ha olvidado su contraseña, solicita un procedimiento de restablecimiento (en una página HTTP semipública, sin autenticación aquí)
  • usted le envía un token único en su correo privado (no hay un enlace para no romper la comunicación anti-phishing ...)
  • le envías un segundo token único en su teléfono con un mensaje de texto
  • cuando obtiene ambos, se conecta en la página de restablecimiento, escribe su id, los 2 tokens y la nueva contraseña que desea. La contraseña debe escribirse dos veces para evitar errores tipográficos.

De esa manera, si el correo del teléfono se ha comprometido, o si uno de los mensajes está intecepted, un atacante no tendría suficiente información para restablecer la contraseña. Pero debo admitir que los usuarios pueden encontrar ese complejo ...

    
respondido por el Serge Ballesta 02.11.2016 - 15:51
fuente
1

Lo que elija, debe considerar la autenticación multifactor para que sea más segura, ya que es la contraseña de dominio para el dominio de su empresa. Como hacer biométrico en su escenario parece más difícil (aunque podría ser una opción a través de teléfonos inteligentes, pero no todos los usuarios tendrán un teléfono inteligente con un lector de huellas digitales), puede ir con algo que tenga y algo que sepa.

En la práctica, esto podría ser una pregunta-respuesta y una OTP con un algoritmo conocido, como HOTP o TOTP. Muchas aplicaciones móviles se pueden descargar en casi todas las plataformas móviles con el fin de generar OTP estándar, y los usuarios solo tienen que inscribirse cargando su secreto en la aplicación, principalmente leyendo un código QR para la configuración automática.

De esta manera, si bien un dispositivo móvil tiene sus propios riesgos (el malware puede robar la OTP, alguien puede hacerse con el dispositivo temporalmente, etc., lo habitual), el usuario todavía tendría que saber la respuesta a algo.

Habiendo dicho eso, muchos usuarios odian las preguntas de seguridad. Además, no son muy seguros como dijiste, pero tal vez tener eso junto con una aplicación móvil OTP satisfaría tus requisitos.

Para la contraseña del dominio de Copany, bueno ... no estoy seguro de que haría esto, aunque creo que es un riesgo relativamente alto. Tal vez debería simplemente tener soporte en el teléfono, con los números de teléfono registrados para las cosas de TI, y cuando alguien llama que olvidó su contraseña, puede llamar al número dado para su autenticación (y puede ir más lejos para asegurarse si esto no es suficiente). Obviamente, esto puede no ser factible en muchos casos, solo un pensamiento.

    
respondido por el Gabor Lengyel 02.11.2016 - 14:18
fuente

Lea otras preguntas en las etiquetas

¿Cómo puedo verificar si una persona está en mi red de confianza? ¿El ISP puede descifrar las VPN libres con credenciales públicas?