Self-service password reset
Self-service resetování hesla je definován jako jakýkoliv proces nebo technologie, která umožňuje uživatelům, kteří mají buď zapomněli své heslo , nebo spustil vetřelce blokování autentizovat s alternativní faktorem, a opravit jejich vlastní problém, bez volání help desk . To je společný rys v řešení správy identit softwaru a často svázaný ve stejném softwarovém balíku jako heslo synchronizace schopnosti.
Typicky uživatelé, kteří zapomněli své heslo zahájit self-service aplikace z rozšíření své pracovní přihlašovací řádku, pomocí vlastní nebo jiného uživatele webového prohlížeče, nebo prostřednictvím telefonního hovoru. Users zjištění jejich totožnosti , aniž by využíval jejich zapomněli nebo zakázán heslo zodpovězením řadu osobních otázek, pomocí hardwarové ověřovací token , reagovat na password oznámení e-mailem , nebo, méně často, tím, že poskytuje biometrického vzorku. Uživatelé pak mohou buď zadat nové, odemčený heslo, nebo požádat, aby náhodně generované jeden být poskytnuty.
Self-service resetování hesla urychluje řešení problémů pro uživatele "po tom", a tím snižuje help desk hlasitost hovoru. To může být také použit k zajištění, že heslo problémy jsou jen vyřešen po přiměřené ověření uživatele, odstranění významnou slabinu mnoha help desk: sociální inženýrství útoky, kde útočník volá help desk, předstírá, že je určena oběť uživatel, tvrdí, že zapomněl své heslo, a požádá o nové heslo.
Přes výhody, může self-service pro resetování hesla, která se spoléhá pouze na odpovědi na osobní otázky nová zranitelná místa, [ 1 ] [ 2 ] , protože odpovědi na tyto otázky lze často získat sociální inženýrství, phishing techniky nebo jednoduché výzkumu. Ačkoli jsou uživatelé často připomíná, že nikdy neprozradí své heslo, jsou méně pravděpodobné, že považovat za citlivé odpovědi na mnoho běžně používaných bezpečnostních otázek, jako jsou domácí jména, místo narození nebo oblíbeného filmu. Mnohé z těchto informací mohou být veřejně dostupné na osobních některých uživatelů domovských stránek. Ostatní odpovědi mohou být vyvolané někdo předstírá provést průzkumu veřejného mínění, nebo nabízí zdarma datování služby. Vzhledem k tomu, mnohé organizace mají standardní způsoby určování přihlašovací jména od skutečných jmen, útočník, který zná jména několika zaměstnanců na takové organizace si mohou vybrat ten, jehož bezpečnost odpovědi jsou nejvíce snadno získat.
Tato chyba zabezpečení není přísně díky self-service Password Reset-často existuje v help desk před nasazením automatizace. Self-service resetování hesla technologie se často používá ke snížení tohoto typu zranitelnosti, zavedením silnější faktory volajícího ověřování než člověk ovládaný helpdesk bylo použití před nasazením automatizace.
V září 2008, Yahoo e-mailový účet na guvernéra Aljašky a viceprezident Spojených států kandidát Sarah Palinové byl přístup bez povolení někým, kdo byl schopen zkoumat odpovědi na dvě ze svých bezpečnostních otázek, její poštovní směrovací číslo a datum narození a byl schopen odhadnout třetí, kde potkala svého manžela. [1] Tento incident jasně zdůraznil, že volba bezpečnostních otázek je velmi důležité, aby se zabránilo sociálního inženýrství útoky na hesla systémů.
Jakobsson, Stolterman, Wetzel, a Yang navrhla použití předvolby pro autentizaci uživatelů pro resetování hesla. [ 3 ] [ 4 ] Mezi základní postřehy jsou, že preference jsou stabilní po dlouhou dobu, [ 5 ] , a nejsou veřejně zaznamenány. Jejich přístup zahrnuje dvě fáze --- nastavení a ověřování .Během instalace je uživatel vyzván k výběru položky, které buď líbí nebo nelíbí z několika kategorií položek, které jsou dynamicky vybraných z velkého kandidáta setu a jsou uvedeny pro uživatele v náhodném pořadí. Během fáze ověřování, je uživatel vyzván ke klasifikaci svých preferencí (líbí či nelíbí) pro vybrané položky zobrazené na něj v náhodném pořadí. Hodnotili bezpečnost jejich přístupu prostřednictvím uživatelských experimentů, uživatelských emulací, a útočník simulací.
Dvoufaktorová autentizace je 'Silná autentizace "metoda, jak se přidává další vrstvu zabezpečení procesu resetování hesla. Ve většině případů to se skládá ze zvýhodňování založené ověřování plus druhé formě fyzické ověřování (pomocí něco má uživatel-tj. čipové karty, USB tokeny, atd.). Jedna populární metoda je přes SMS a e-mailu. Advanced SSRP software vyžaduje, aby uživatel poskytne číslo svého mobilního telefonu, nebo osobní e-mailovou adresu při nastavení. V případě, že o resetování hesla PIN kód bude odeslán na uživatele telefonicky nebo emailem a budou muset zadat tento kód během procesu resetování hesla.
Hlavní problém s self-service resetování hesla uvnitř podniků a podobných organizací je umožnit uživatelům přístup do systému v případě, že zapomněli své primární heslo. Vzhledem k tomu, SSPR systémy jsou obvykle web-based, musí uživatel spustit webový prohlížeč opravit svůj problém, ale uživatel nemůže přihlásit do svého pracoviště, dokud není problém vyřešen. Existují různé přístupy k řešení tohoto Catch-22, z nichž všechny jsou kompromisy (např. desktop software nasazení, pro celou doménu resetování hesla účtu, přístup k telefonním službám, navštívit souseda, nadále volat na help desk, atd.).
Existují dva další problémy týkající se jednoho z výluce uživatelů:
Mobilní uživatelé, fyzicky od podnikové sítě, který zapomněl, jejich PC přihlašovací heslo.
Hesla uložená v mezipaměti v operačním systému nebo prohlížeče, které by mohly i nadále nabízeny na serverech po změně hesla, které bylo zahájeno v jiném počítači (help desk, správu hesel webový server, atd.) a tím zapříčiní vloupání blokování.
Ve spojení s preference založené na ověřování, může samoobslužné postupy pro resetování hesla se také spoléhají na síti stávajících lidských vztahů mezi uživateli. V tomto scénáři, uživatel, který zapomněl své heslo požádá kolegu o pomoc. "Pomocník" kolega ověří s aplikací pro obnovení hesla a ručí za identity uživatele. [ 6 ] [ 7 ]
V tomto scénáři je problém změny z jedné z ověřování uživatele, který zapomněl své heslo k jednomu z pochopení, které uživatelé by měli mít možnost ručit za které ostatní uživatelé.