Restablecimiento de contraseña de autoservicio

restablecimiento de contraseña de autoservicio (SSPR) se define como cualquier proceso o tecnología que permite a los usuarios que han olvidado su contraseña o activado un bloqueo contra intrusos autenticarse con un factor alternativo y reparar su propio problema, sin llamar al servicio de asistencia técnica. Es una característica común en el software de gestión de identidades y, a menudo, se incluye en el mismo paquete de software como capacidad de sincronización de contraseñas.

Por lo general, los usuarios que han olvidado su contraseña inician una aplicación de autoservicio desde una extensión en el mensaje de inicio de sesión de su estación de trabajo, utilizando su propio navegador web o el de otro usuario, o mediante una llamada telefónica. Los usuarios establecen su identidad, sin utilizar su contraseña olvidada o deshabilitada, respondiendo una serie de preguntas personales, utilizando un token de autenticación de hardware, respondiendo a un correo electrónico de notificación o, con menor frecuencia, proporcionando una muestra biométrica como el reconocimiento de voz. Luego, los usuarios pueden especificar una contraseña nueva desbloqueada o solicitar que se les proporcione una generada aleatoriamente.

El autoservicio de restablecimiento de contraseña acelera la resolución de problemas para los usuarios "después del hecho" y, por lo tanto, reduce el volumen de llamadas al servicio de asistencia técnica. También se puede utilizar para garantizar que los problemas de contraseñas solo se resuelvan después de una autenticación adecuada del usuario, eliminando una debilidad importante de muchos servicios de asistencia: los ataques de ingeniería social, en los que un intruso llama al servicio de asistencia, se hace pasar por el usuario víctima previsto y afirma tener Olvidó la contraseña de la cuenta y solicita una nueva contraseña.

Autenticación multifactor

En lugar de simplemente pedir a los usuarios que respondan preguntas de seguridad, los sistemas modernos de restablecimiento de contraseñas también pueden aprovechar una secuencia de pasos de autenticación:

• Pida a los usuarios que completen un CAPTCHA, que demuestren que son humanos.
• Pida a los usuarios que introduzcan un PIN que se envía a su dirección de correo electrónico personal o teléfono móvil.
• Exigir el uso de otra tecnología, como un símbolo de una sola palabra.
• Biometría de palanca, como una impresión de voz.
• Un autenticador, como Google Authenticator o un código SMS.

Seguridad de la autenticación de usuarios simplemente haciendo preguntas de seguridad

A pesar de los beneficios, un restablecimiento de contraseña de autoservicio que se basa únicamente en respuestas a preguntas personales puede introducir nuevas vulnerabilidades, ya que las respuestas a tales preguntas a menudo pueden obtenerse mediante ingeniería social, técnicas de phishing o una simple investigación. Si bien a los usuarios se les recuerda con frecuencia que nunca revelen su contraseña, es menos probable que consideren confidenciales las respuestas a muchas preguntas de seguridad de uso común, como nombres de mascotas, lugar de nacimiento o película favorita. Gran parte de esta información puede estar disponible públicamente en las páginas de algunos usuarios. páginas de inicio personales. Otras respuestas pueden ser obtenidas por alguien que pretenda realizar una encuesta de opinión u ofrecer un servicio gratuito de citas. Dado que muchas organizaciones tienen métodos estándar para determinar los nombres de inicio de sesión a partir de nombres reales, un atacante que conozca los nombres de varios empleados de dicha organización puede elegir uno cuyas respuestas de seguridad se obtengan más fácilmente.

Esta vulnerabilidad no se debe estrictamente al autoservicio de restablecimiento de contraseña; a menudo existe en la mesa de ayuda antes de implementar la automatización. La tecnología de autoservicio de restablecimiento de contraseña se utiliza a menudo para reducir este tipo de vulnerabilidad, mediante la introducción de factores de autenticación de llamadas más sólidos que los que utilizaba el servicio de asistencia operado por humanos antes de la implementación de la automatización.

En septiembre de 2008, la cuenta de correo electrónico de Yahoo de la candidata a gobernadora de Alaska y vicepresidenta de los Estados Unidos, Sarah Palin, fue accedida sin autorización por alguien que pudo buscar respuestas a dos de sus preguntas de seguridad, su código postal y fecha de nacimiento y pudo adivinar la tercera, donde conoció a su marido. Este incidente destacó claramente que la elección de las preguntas de seguridad es muy importante para prevenir ataques de ingeniería social a los sistemas de contraseñas.

Autenticación basada en preferencias

Jakobsson, Stolterman, Wetzel y Yang propusieron utilizar preferencias para autenticar usuarios para restablecimiento de contraseña. La idea subyacente es que las preferencias son estables durante un largo período de tiempo y no se registran públicamente. Su enfoque incluye dos fases: configuración y autenticación. Durante la configuración, se le pide al usuario que seleccione elementos que le gusten o no le gusten de varias categorías de elementos que se seleccionan dinámicamente de un gran conjunto de candidatos y se presentan al usuario en orden aleatorio. Durante la fase de autenticación, se pide a los usuarios que clasifiquen sus preferencias (me gusta o no) para los elementos seleccionados que se les muestran en un orden aleatorio. Jakobsson, Stolterman, Wetzel y Yang evaluaron la seguridad de su enfoque mediante experimentos de usuarios, emulaciones de usuarios y simulaciones de atacantes.

Restablecimientos basados en correo electrónico o teléfono

Muchos sistemas basados en web que no utilizan el inicio de sesión único permiten a los usuarios enviar un enlace para restablecer la contraseña a su dirección de correo electrónico o número de teléfono registrado. Sin embargo, muchas grandes plataformas de redes sociales revelan una parte de la dirección de correo electrónico de un usuario y algunos de los dígitos del número de teléfono cuando se utiliza la función de "contraseña olvidada". función. A menudo, la dirección de correo electrónico completa se puede derivar de esta pista.

Autenticación de dos factores

La autenticación de dos factores es una 'autenticación fuerte' método, ya que agrega otra capa de seguridad al proceso de restablecimiento de contraseña. En la mayoría de los casos, esto consiste en una autenticación basada en preferencias más una segunda forma de autenticación física (utilizando algo que el usuario posee, es decir, tarjetas inteligentes, tokens USB, etc.). Un método popular es a través de SMS y correo electrónico. El software SSPR avanzado requiere que el usuario proporcione un número de teléfono móvil o una dirección de correo electrónico personal durante la configuración. En caso de restablecer la contraseña, se enviará un código PIN al teléfono o correo electrónico del usuario y deberá ingresar este código durante el proceso de restablecimiento de la contraseña. La tecnología moderna también permite la autenticación mediante biometría de voz utilizando tecnología de reconocimiento de voz.

Acceso a plataforma para reseteo

Un problema importante con el autoservicio de restablecimiento de contraseñas dentro de corporaciones y organizaciones similares es permitir a los usuarios acceder al sistema si olvidaron su contraseña principal. Dado que los sistemas SSPR suelen estar basados en la web, los usuarios deben iniciar un navegador web para solucionar el problema, pero no pueden iniciar sesión en la estación de trabajo hasta que se resuelva el problema. Existen varios enfoques para abordar este problema, la mayoría de los cuales son compromisos (por ejemplo, implementación de software de escritorio, restablecimiento de contraseña de todo el dominio, acceso telefónico, visita a un vecino, continuar llamando al servicio de asistencia técnica, etc.). Algunas empresas han creado software que presenta un navegador web restringido en la pantalla de inicio de sesión con la única capacidad de acceder a la página de restablecimiento de contraseña sin iniciar sesión en el sistema; un ejemplo de esto es la tecnología Client Login Extension de Novell. Debido a que estas tecnologías brindan efectivamente al usuario acceso a los recursos de la computadora, específicamente un navegador web, para restablecer contraseñas sin autenticarse en la computadora, la seguridad es una alta prioridad y las capacidades son muy limitadas, por lo que el usuario no puede hacer más de lo esperado en este modo.

Hay dos problemas adicionales relacionados con el de los usuarios bloqueados:

• Usuarios móviles, físicamente lejos de la red corporativa, que olvidó la contraseña de inicio de sesión de su PC.
• Contraseñas grabadas por el sistema operativo o el navegador, que podría seguir siendo ofrecido a los servidores después de un cambio de contraseña que se inició en otro ordenador (solicitud de asistencia, servidor web de gestión de contraseñas, etc.) y por lo tanto desencadena un bloqueo intruso.

La opción de aval

Junto con la autenticación basada en preferencias, los procedimientos de autoservicio para restablecer la contraseña también podrían depender de la red de relaciones humanas existentes entre los usuarios. En este escenario, el usuario que olvidó la contraseña pide ayuda a un colega. El "ayudante" El colega se autentica con la aplicación de restablecimiento de contraseña y garantiza la identidad del usuario.

En este escenario, el problema cambia de autenticar al usuario que olvidó la contraseña a comprender qué usuarios deberían tener la capacidad de responder por qué otros usuarios.

Autorización RBAC

Aunque es importante proporcionar autenticación multifactor cuando el punto final del software SSPR se enfrenta a redes no confiables, hay otro aspecto importante que el SSPR moderno debe abordar. Es la función de control de acceso basado en roles (RBAC) la que es responsable del aprovisionamiento del nivel de acceso para los usuarios. Al realizar restablecimientos de contraseñas de autoservicio críticos para cuentas privilegiadas, es posible que desee permitir el desbloqueo de cuentas y restringir la funcionalidad de cambio de contraseña. Los equipos de soporte tienen la responsabilidad de cambiar las contraseñas de estas cuentas. Puede encontrar más información y vídeos sobre cómo funcionan dichos portales en la práctica en la sección de enlaces externos llamada SecureMFA SSPR Portal.