Сброс пароля самостоятельного обслуживания

Самостоятельный сброс пароля ( SSPR ) определяется как любой процесс или технология, которая позволяет пользователям, которые либо забыли свой пароль , либо активировали блокировку злоумышленника, пройти аутентификацию с использованием альтернативного фактора и устранить свою проблему самостоятельно, не обращаясь в службу поддержки. Это обычная функция программного обеспечения для управления идентификацией , которая часто входит в тот же программный пакет, что и возможность синхронизации паролей .

Обычно пользователи, забывшие свой пароль, запускают приложение самообслуживания из расширения приглашения для входа в систему на своей рабочей станции, используя собственный веб-браузер или веб-браузер другого пользователя или посредством телефонного звонка. Пользователи устанавливают свою личность , не используя забытый или отключенный пароль, отвечая на ряд личных вопросов, используя аппаратный токен аутентификации , отвечая на уведомление по электронной почте или, реже, предоставляя биометрический образец, такой как распознавание голоса. Затем пользователи могут либо указать новый разблокированный пароль, либо попросить предоставить случайно сгенерированный пароль.

Самостоятельный сброс пароля ускоряет решение проблем для пользователей «постфактум» и, таким образом, снижает количество обращений в службу поддержки. Его также можно использовать для того, чтобы гарантировать, что проблемы с паролями будут решены только после адекватной аутентификации пользователя, что устраняет важную слабость многих служб поддержки: атаки социальной инженерии , когда злоумышленник звонит в службу поддержки, притворяется предполагаемым пользователем-жертвой и утверждает, что забыл пароль учетной записи и просит новый пароль.

Многофакторная аутентификация

Вместо того, чтобы просто просить пользователей ответить на секретные вопросы, современные системы сброса пароля могут также использовать последовательность шагов аутентификации:

Попросите пользователей пройти CAPTCHA , чтобы продемонстрировать, что они люди.
Попросите пользователей ввести PIN-код, который будет отправлен на их личный адрес электронной почты или мобильный телефон.
Требовать использования другой технологии, например токена одноразового пароля.
Используйте биометрические данные, например отпечаток голоса.
Аутентификатор или , например Google Authenticator код SMS.

Безопасность аутентификации пользователей исключительно путем задания контрольных вопросов.

Несмотря на преимущества, самостоятельный сброс пароля, основанный исключительно на ответах на личные вопросы, может привести к появлению новыхуязвимости, ^[1]^[2] поскольку ответы на такие вопросы часто можно получить с помощью социальной инженерии, методов фишинга или простого исследования. Хотя пользователям часто напоминают о том, что им нельзя раскрывать свой пароль, они с меньшей вероятностью будут воспринимать как конфиденциальные ответы на многие часто используемые контрольные вопросы, такие как имена домашних животных, место рождения или любимый фильм. Большая часть этой информации может быть общедоступной на личных домашних страницах некоторых пользователей. Другие ответы могут быть получены, если кто-то притворится, что проводит опрос общественного мнения, или предложит бесплатную услугу знакомств. Поскольку во многих организациях существуют стандартные способы определения имен для входа в систему по реальным именам, злоумышленник, знающий имена нескольких сотрудников такой организации, может выбрать того, ответы на вопросы безопасности которого легче всего получить.

Эта уязвимость связана не только с самостоятельным сбросом пароля — она часто существует в службе поддержки до внедрения автоматизации. Технология самостоятельного сброса пароля часто используется для уменьшения этого типа уязвимости за счет введения более строгих факторов аутентификации вызывающего абонента, чем те, которые использовала служба поддержки, управляемая человеком, до внедрения автоматизации.

В сентябре 2008 года Yahoo к учетной записи электронной почты губернатора Аляски и вице-президенты США кандидата в Сары Пэйлин получил без разрешения доступ кто-то, кто смог найти ответы на два ее секретных вопроса, ее почтовый индекс и дату рождения. а третью смогла угадать, где она встретила своего мужа. ^[3] Этот инцидент ясно показал, что выбор контрольных вопросов очень важен для предотвращения атак социальной инженерии на системы паролей.

Аутентификация на основе предпочтений

Якобссон, Столтерман, Ветцель и Янг предложили использовать предпочтения для аутентификации пользователей для сброс пароля. ^[4]^[5] Основная идея заключается в том, что предпочтения стабильны в течение длительного периода времени. ^[6] и не фиксируются публично. Их подход включает в себя два этапа — настройку и аутентификацию . Во время настройки пользователю предлагается выбрать элементы, которые ему нравятся или не нравятся, из нескольких категорий элементов, которые динамически выбираются из большого набора кандидатов и представляются пользователю в случайном порядке. На этапе аутентификации пользователям предлагается классифицировать свои предпочтения (нравится или не нравится) для выбранных элементов, отображаемых им, в случайном порядке. Якобссон, Столтерман, Ветцель и Янг оценили безопасность своего подхода с помощью пользовательских экспериментов, пользовательской эмуляции и моделирования атак.

Сброс по электронной почте или телефону

Многие веб-системы, не использующие единый вход, позволяют пользователям отправлять ссылку для сброса пароля на зарегистрированный адрес электронной почты или номер телефона. Однако многие крупные платформы социальных сетей раскрывают часть адреса электронной почты пользователя и некоторые цифры номера телефона при использовании функции «забытый пароль». Часто по этой подсказке можно получить весь адрес электронной почты. ^[7]

Двухфакторная аутентификация

Двухфакторная аутентификация — это метод «сильной аутентификации», поскольку он добавляет еще один уровень безопасности в процесс сброса пароля. В большинстве случаев это состоит из аутентификации на основе предпочтений плюс вторая форма физической аутентификации (с использованием того, что есть у пользователя, например, смарт-карт, USB-токенов и т. д.). Один популярный метод — через SMS и электронную почту. Программное обеспечение Advanced SSPR требует от пользователя указания номера мобильного телефона или личного адреса электронной почты во время установки. В случае сброса пароля на телефон или электронную почту пользователя будет отправлен PIN-код, который ему необходимо будет ввести в процессе сброса пароля. Современные технологии также позволяют осуществлять аутентификацию с помощью голосовой биометрии с использованием распознавания голоса . технологии ^[8]

Доступ к платформе для сброса

Основная проблема с самостоятельным сбросом пароля внутри корпораций и аналогичных организаций заключается в том, что пользователи могут получить доступ к системе, если они забыли свой основной пароль. Поскольку системы SSPR обычно работают через Интернет, пользователям необходимо запустить веб-браузер, чтобы устранить проблему, но они не могут войти на рабочую станцию, пока проблема не будет решена. Существуют различные подходы к устранению этой ловушки-22, большинство из которых являются компромиссными (например, развертывание программного обеспечения для настольных компьютеров, учетная запись для сброса пароля на уровне домена, доступ по телефону, посещение соседа, продолжение звонка в службу поддержки и т. д.). Некоторые компании создали программное обеспечение, которое представляет собой ограниченный веб-браузер на экране входа в систему с единственной возможностью доступа к странице сброса пароля без входа в систему; Примером этого является технология Novell Client Login Extension. Поскольку эти технологии фактически предоставляют пользователю доступ к ресурсам компьютера, в частности к веб-браузеру, для сброса паролей без аутентификации на компьютере, безопасность имеет высокий приоритет, а возможности очень ограничены, поэтому пользователь не может сделать больше, чем ожидается в этом режиме.

Есть две дополнительные проблемы, связанные с заблокированными пользователями:

Мобильные пользователи, физически находящиеся вне корпоративной сети, забывшие пароль для входа в систему своего ПК.
Пароли, кэшированные операционной системой или браузером, которые могут продолжать предлагаться серверам после изменения пароля, инициированного на другом компьютере (службе поддержки, веб-сервере управления паролями и т. д.), и, следовательно, вызывать блокировку злоумышленника.

Вариант поручительства

В сочетании с аутентификацией на основе предпочтений процедуры самостоятельного сброса пароля также могут опираться на сеть существующих человеческих отношений между пользователями. В этом случае пользователь, забывший пароль, обращается за помощью к коллеге. Коллега-помощник проходит аутентификацию с помощью приложения для сброса пароля и подтверждает личность пользователя. ^[9]^[10]

В этом сценарии проблема меняется с аутентификации пользователя, забывшего пароль, на понимание того, какие пользователи должны иметь возможность ручаться за каких других пользователей.

Авторизация RBAC

Хотя важно обеспечить многофакторную аутентификацию, когда конечная точка программного обеспечения SSPR сталкивается с ненадежными сетями, существует еще один важный аспект, который необходимо учитывать в современном SSPR. Это функция управления доступом на основе ролей (RBAC), которая отвечает за предоставление уровня доступа для пользователей. При выполнении критического самостоятельного сброса пароля для привилегированных учетных записей вы можете разрешить разблокировку учетной записи и ограничить функцию смены пароля. Службы поддержки несут ответственность за изменение паролей этих учетных записей. Дополнительную информацию и видеоролики о том, как такие порталы работают на практике, можно найти в разделе внешних ссылок под названием SecureMFA SSPR Portal.

Ссылки

^ Гриффит, Вирджил (2005). «Взаимодействие с Техасом, вызывающим девичьи фамилии матери на основе публичных записей». Прикладная криптография и сетевая безопасность (PDF) . Конспекты лекций по информатике. Том. 3531. стр. 91–103. дои : 10.1007/11496137_7 . ISBN 978-3-540-26223-7 .
^ Рабкин, Ариэль (2008). «Вопросы о личных знаниях для резервной аутентификации: вопросы безопасности в эпоху Facebook» (PDF) . Материалы 4-го симпозиума по полезной конфиденциальности и безопасности . стр. 13–23. дои : 10.1145/1408664.1408667 . ISBN 9781605582764 . S2CID 6309745 .
^ «Хакер выдал себя за Пэйлин и украл пароль от электронной почты» . 18 сентября 2008 г. Архивировано из оригинала 2 октября 2008 г.
^ Якобссон, Маркус; и др. (2008). «Любовь и аутентификация» (PDF) . Материалы двадцать шестой ежегодной конференции CHI «Человеческий фактор в вычислительных системах — CHI '08» . стр. 197–200. CiteSeerX 10.1.1.145.6934 . дои : 10.1145/1357054.1357087 . ISBN 9781605580111 . S2CID 2199454 . Архивировано из оригинала (PDF) 25 апреля 2017 г. Проверено 30 апреля 2021 г.
^ Якобссон, Маркус; и др. (2008). «Количественная оценка безопасности аутентификации на основе предпочтений» (PDF) . Материалы 4-го семинара ACM по управлению цифровой идентификацией - DIM '08 . стр. 61–70. CiteSeerX 10.1.1.150.7577 . дои : 10.1145/1456424.1456435 . ISBN 9781605582948 . S2CID 16199928 .
^ Кроуфорд, Дуэйн; и др. (1986). «Стабильность досуговых предпочтений». Журнал исследований досуга . 18 (2): 96–115. дои : 10.1080/00222216.1986.11969649 .
^ Кокс, Джозеф (15 апреля 2016 г.). «Включите эту настройку, чтобы люди не могли угадать ваш адрес электронной почты из вашего Twitter» . Проверено 17 января 2021 г.
^ Решения для вывода (2015). «Самостоятельный сброс пароля: несбыточная мечта или реальность? - Вывод» . Архивировано из оригинала 05 марта 2016 г. Проверено 20 мая 2015 г.
^ Финетти, Марио (30 января 2022 г.). «Самостоятельный сброс пароля в крупных организациях» .
^ Лаборатории RSA (2006). «Четвертая факторная аутентификация: кто-то, кого вы знаете» (PDF) . Материалы 13-й конференции ACM «Компьютерная и коммуникационная безопасность» . стр. 168–178. дои : 10.1145/1180405.1180427 . ISBN 978-1595935182 . S2CID 1979527 .

Внешние ссылки

Сброс пароля самообслуживания в Healthcare Health Management Technology 2012 (получено 19 июня 2019 г.)
Памятка по забытому паролю Открытый проект безопасности веб-приложений (получено 19 июня 2019 г.)
Самообслуживание паролей с любого устройства, в любом месте и в любое время. Технология управления паролями нового поколения на основе ESB от ILANTUS Technologies (получено 19 июня 2019 г.)
Портал SucureMFA SSPR Портал самообслуживания для сброса пароля с функциональностью RBAC, объясненный с помощью видеоконтента (получено 17 января 2021 г.)

[1] Гриффит, Вирджил (2005). «Взаимодействие с Техасом, вызывающим девичьи фамилии матери на основе публичных записей». Прикладная криптография и сетевая безопасность (PDF) . Конспекты лекций по информатике. Том. 3531. стр. 91–103. дои : 10.1007/11496137_7 . ISBN 978-3-540-26223-7 .

[2] Рабкин, Ариэль (2008). «Вопросы о личных знаниях для резервной аутентификации: вопросы безопасности в эпоху Facebook» (PDF) . Материалы 4-го симпозиума по полезной конфиденциальности и безопасности . стр. 13–23. дои : 10.1145/1408664.1408667 . ISBN 9781605582764 . S2CID 6309745 .

[3] «Хакер выдал себя за Пэйлин и украл пароль от электронной почты» . 18 сентября 2008 г. Архивировано из оригинала 2 октября 2008 г.

[4] Якобссон, Маркус; и др. (2008). «Любовь и аутентификация» (PDF) . Материалы двадцать шестой ежегодной конференции CHI «Человеческий фактор в вычислительных системах — CHI '08» . стр. 197–200. CiteSeerX 10.1.1.145.6934 . дои : 10.1145/1357054.1357087 . ISBN 9781605580111 . S2CID 2199454 . Архивировано из оригинала (PDF) 25 апреля 2017 г. Проверено 30 апреля 2021 г.

[5] Якобссон, Маркус; и др. (2008). «Количественная оценка безопасности аутентификации на основе предпочтений» (PDF) . Материалы 4-го семинара ACM по управлению цифровой идентификацией - DIM '08 . стр. 61–70. CiteSeerX 10.1.1.150.7577 . дои : 10.1145/1456424.1456435 . ISBN 9781605582948 . S2CID 16199928 .

[6] Кроуфорд, Дуэйн; и др. (1986). «Стабильность досуговых предпочтений». Журнал исследований досуга . 18 (2): 96–115. дои : 10.1080/00222216.1986.11969649 .

[7] Кокс, Джозеф (15 апреля 2016 г.). «Включите эту настройку, чтобы люди не могли угадать ваш адрес электронной почты из вашего Twitter» . Проверено 17 января 2021 г.

[8] Решения для вывода (2015). «Самостоятельный сброс пароля: несбыточная мечта или реальность? - Вывод» . Архивировано из оригинала 05 марта 2016 г. Проверено 20 мая 2015 г.

[9] Финетти, Марио (30 января 2022 г.). «Самостоятельный сброс пароля в крупных организациях» .

[10] Лаборатории RSA (2006). «Четвертая факторная аутентификация: кто-то, кого вы знаете» (PDF) . Материалы 13-й конференции ACM «Компьютерная и коммуникационная безопасность» . стр. 168–178. дои : 10.1145/1180405.1180427 . ISBN 978-1595935182 . S2CID 1979527 .

[1]

[2]

[3]

[4]

[5]

[6]

[7]

[8]

[9]

[10]