El restablecimiento de contraseña de autoservicio ( SSPR ) se define como cualquier proceso o tecnología que permite a los usuarios que han olvidado su contraseña o han provocado un bloqueo por intrusos autenticarse con un factor alternativo y reparar su propio problema, sin llamar a la mesa de ayuda. Es una característica común en el software de gestión de identidades y, a menudo, se incluye en el mismo paquete de software que una función de sincronización de contraseñas .
Normalmente, los usuarios que han olvidado su contraseña inician una aplicación de autoservicio desde una extensión al indicador de inicio de sesión de su estación de trabajo, utilizando su propio navegador web o el de otro usuario, o mediante una llamada telefónica. Los usuarios establecen su identidad , sin utilizar su contraseña olvidada o desactivada, respondiendo una serie de preguntas personales, utilizando un token de autenticación de hardware , respondiendo a un correo electrónico de notificación o, con menos frecuencia, proporcionando una muestra biométrica como el reconocimiento de voz. Los usuarios pueden especificar una nueva contraseña desbloqueada o solicitar que se les proporcione una generada aleatoriamente.
El restablecimiento de contraseña de autoservicio acelera la resolución de problemas para los usuarios "después del hecho" y, por lo tanto, reduce el volumen de llamadas al servicio de asistencia técnica. También se puede utilizar para garantizar que los problemas de contraseña solo se resuelvan después de la autenticación adecuada del usuario, eliminando una debilidad importante de muchas mesas de ayuda: los ataques de ingeniería social , en los que un intruso llama a la mesa de ayuda, finge ser el usuario víctima previsto, afirma tener olvidó la contraseña de la cuenta y solicita una nueva contraseña.
Autenticación multifactor
En lugar de simplemente pedirles a los usuarios que respondan preguntas de seguridad, los sistemas modernos de restablecimiento de contraseñas también pueden aprovechar una secuencia de pasos de autenticación:
- Pida a los usuarios que completen un CAPTCHA para demostrar que son humanos.
- Pida a los usuarios que ingresen un PIN que se envía a su dirección de correo electrónico personal o teléfono móvil.
- Requiere el uso de otra tecnología, como un token de contraseña de un solo uso.
- Aproveche la biometría, como la impresión de voz.
- Un autenticador , como Google Authenticator o un código SMS.
Seguridad de autenticar a los usuarios simplemente haciendo preguntas de seguridad
A pesar de los beneficios, un restablecimiento de contraseña de autoservicio que se basa únicamente en respuestas a preguntas personales puede introducir nuevas vulnerabilidades, [1] [2] ya que las respuestas a tales preguntas a menudo se pueden obtener mediante ingeniería social, técnicas de phishing o investigación simple. Si bien a los usuarios se les recuerda con frecuencia que nunca revelen su contraseña, es menos probable que consideren sensibles las respuestas a muchas preguntas de seguridad de uso común, como los nombres de las mascotas, el lugar de nacimiento o la película favorita. Gran parte de esta información puede estar disponible públicamente en las páginas de inicio personales de algunos usuarios. Otras respuestas pueden ser obtenidas por alguien que pretende realizar una encuesta de opinión u ofrece un servicio gratuito de citas. Dado que muchas organizaciones tienen formas estándar de determinar los nombres de inicio de sesión a partir de nombres reales, un atacante que conoce los nombres de varios empleados de dicha organización puede elegir uno cuyas respuestas de seguridad se obtengan más fácilmente.
Esta vulnerabilidad no se debe estrictamente al restablecimiento de contraseña de autoservicio; a menudo existe en la mesa de ayuda antes de la implementación de la automatización. La tecnología de autoservicio de restablecimiento de contraseñas se utiliza a menudo para reducir este tipo de vulnerabilidad, mediante la introducción de factores de autenticación de llamadas más fuertes que los que utilizaba la mesa de ayuda operada por humanos antes de la implementación de la automatización.
En septiembre de 2008, el Yahoo cuenta de correo electrónico de la gobernadora de Alaska y el vicepresidente de los Estados Unidos nominado Sarah Palin se accede sin autorización por alguien que era capaz de investigar respuestas a dos de sus preguntas de seguridad, su Código postal y fecha de nacimiento y supo adivinar el tercero, donde conoció a su marido. [3] Este incidente destacó claramente que la elección de las preguntas de seguridad es muy importante para prevenir ataques de ingeniería social en los sistemas de contraseñas.
Autenticación basada en preferencias
Jakobsson, Stolterman, Wetzel y Yang propusieron usar preferencias para autenticar a los usuarios para restablecer la contraseña. [4] [5] Las ideas subyacentes son que las preferencias son estables durante un largo período de tiempo, [6] y no se registran públicamente. Su enfoque incluye dos fases: configuración y autenticación . Durante la configuración, se le pide al usuario que seleccione elementos que le gusten o que no le gusten de varias categorías de elementos que se seleccionan dinámicamente de un gran conjunto de candidatos y se presentan al usuario en un orden aleatorio. Durante la fase de autenticación, se pide a los usuarios que clasifiquen sus preferencias (me gusta o no me gusta) para los elementos seleccionados que se les muestran en un orden aleatorio. Jakobsson, Stolterman, Wetzel y Yang evaluaron la seguridad de su enfoque mediante experimentos de usuario, emulaciones de usuario y simulaciones de atacantes.
Restablecimientos basados en correo electrónico o teléfono
Muchos sistemas basados en web que no utilizan el inicio de sesión único permiten a los usuarios enviar un enlace de restablecimiento de contraseña a su dirección de correo electrónico o número de teléfono registrados. Sin embargo, muchas grandes plataformas de redes sociales revelan una parte de la dirección de correo electrónico de un usuario y algunos de los dígitos del número de teléfono cuando se usa la función de 'contraseña olvidada'. A menudo, la dirección de correo electrónico completa se puede derivar de esta sugerencia. [7]
Autenticación de dos factores
La autenticación de dos factores es un método de 'autenticación fuerte', ya que agrega otra capa de seguridad al proceso de restablecimiento de contraseña. En la mayoría de los casos, esto consiste en la autenticación basada en preferencias más una segunda forma de autenticación física (utilizando algo que el usuario posee, es decir, tarjetas inteligentes, tokens USB, etc.). Un método popular es a través de SMS y correo electrónico. El software SSPR avanzado requiere que el usuario proporcione un número de teléfono móvil o una dirección de correo electrónico personal durante la configuración. En caso de restablecimiento de contraseña, se enviará un código PIN al teléfono o correo electrónico del usuario y deberá ingresar este código durante el proceso de restablecimiento de contraseña. La tecnología moderna también permite la autenticación mediante biometría de voz utilizando tecnología de reconocimiento de voz. [8]
Accesibilidad
Un problema importante con el restablecimiento de contraseñas de autoservicio dentro de corporaciones y organizaciones similares es permitir que los usuarios accedan al sistema si olvidan su contraseña principal. Dado que los sistemas SSPR suelen estar basados en la web, los usuarios deben iniciar un navegador web para solucionar el problema, pero no pueden iniciar sesión en la estación de trabajo hasta que se resuelva el problema. Existen varios enfoques para abordar este Catch-22, la mayoría de los cuales son compromisos (por ejemplo, implementación de software de escritorio, cuenta de restablecimiento de contraseña en todo el dominio, acceso telefónico, visita a un vecino, continuar llamando al servicio de asistencia técnica, etc.). Algunas empresas han creado software que presenta un navegador web restringido en la pantalla de inicio de sesión con la única capacidad de acceder a la página de restablecimiento de contraseña sin iniciar sesión en el sistema; un ejemplo de esto es la tecnología Client Login Extension de Novell . Debido a que estas tecnologías brindan al usuario acceso efectivo a los recursos de la computadora, específicamente un navegador web, para restablecer las contraseñas sin autenticarse en la computadora, la seguridad es una prioridad alta y las capacidades son muy limitadas, por lo que el usuario no puede hacer más de lo esperado en este modo.
Hay dos problemas adicionales relacionados con el de los usuarios bloqueados:
- Usuarios móviles, físicamente alejados de la red corporativa, que olvidaron la contraseña de inicio de sesión de su PC.
- Contraseñas almacenadas en caché por el sistema operativo o el navegador, que pueden continuar ofreciéndose a los servidores después de un cambio de contraseña que se inició en otra computadora (mesa de ayuda, servidor web de administración de contraseñas, etc.) y, por lo tanto, desencadenar un bloqueo por intrusos.
La opción de avalar
Junto con la autenticación basada en preferencias, los procedimientos de autoservicio de restablecimiento de contraseñas también podrían depender de la red de relaciones humanas existentes entre los usuarios. En este escenario, el usuario que olvidó la contraseña solicita ayuda a un colega. El colega "ayudante" se autentica con la aplicación de restablecimiento de contraseña y garantiza la identidad del usuario. [9] [10]
En este escenario, el problema cambia de autenticar al usuario que olvidó la contraseña a comprender qué usuarios deberían tener la capacidad de responder por qué otros usuarios.
Autorización RBAC
Aunque es importante proporcionar autenticación multifactor cuando el punto final del software SSPR se enfrenta a redes que no son de confianza, existe otro aspecto importante que el SSPR moderno debe abordar. Es la función de control de acceso de base de roles (RBAC) que es responsable del aprovisionamiento del nivel de acceso para los usuarios. Al realizar restablecimientos críticos de contraseña de autoservicio para cuentas privilegiadas, es posible que desee permitir el desbloqueo de cuentas y restringir la funcionalidad de cambio de contraseña. Los equipos de soporte tienen la responsabilidad de cambiar las contraseñas de estas cuentas. Puede encontrar más información y videos sobre cómo funcionan estos portales en la práctica en la sección de enlaces externos llamada SecureMFA SSPR Portal.
Referencias
- ^ Griffith, Virgil (2005). Messin 'with Texas, Derivando los apellidos de soltera de la madre usando registros públicos (PDF) . Apuntes de conferencias en Ciencias de la Computación. 3531 . págs. 91-103. doi : 10.1007 / 11496137_7 . ISBN 978-3-540-26223-7.
- ^ Rabkin, Ariel (2008). "Preguntas de conocimientos personales para la autenticación alternativa" (PDF) . Preguntas de conocimiento personal para la autenticación alternativa: preguntas de seguridad en la era de Facebook . pag. 13. doi : 10.1145 / 1408664.1408667 . ISBN 9781605582764.
- ^ "Hacker se hizo pasar por Palin, robó la contraseña de correo electrónico" . 18 de septiembre de 2008. Archivado desde el original el 2 de octubre de 2008.
- ^ Jakobsson, Markus; et al. (2008). "Amor y autenticación" (PDF) . Actas de la vigésimo sexta conferencia anual de CHI sobre factores humanos en sistemas informáticos - CHI '08 . pag. 197. CiteSeerX 10.1.1.145.6934 . doi : 10.1145 / 1357054.1357087 . ISBN 9781605580111.
- ^ Jakobsson, Markus; et al. (2008). "Cuantificación de la seguridad de la autenticación basada en preferencias" (PDF) . Actas del 4º taller de ACM sobre gestión de identidad digital - DIM '08 . pag. 61. CiteSeerX 10.1.1.150.7577 . doi : 10.1145 / 1456424.1456435 . ISBN 9781605582948.
- ^ Crawford, Duane; et al. (1986). "La estabilidad de las preferencias de ocio". Revista de investigación sobre el ocio . 18 (2): 96-115. doi : 10.1080 / 00222216.1986.11969649 .
- ^ Cox, Joseph (15 de abril de 2016). "Habilite esta configuración para que la gente no pueda adivinar su dirección de correo electrónico desde su Twitter" . Consultado el 17 de enero de 2021 .
- ^ Soluciones de inferencia (2015). "Copia archivada" . Archivado desde el original el 5 de marzo de 2016 . Consultado el 20 de mayo de 2015 .Mantenimiento de CS1: copia archivada como título ( enlace )
- ^ Finetti, Mario. "Restablecimiento de contraseña de autoservicio en grandes organizaciones" .
- ^ Laboratorios RSA (2006). "Autenticación de cuarto factor" (PDF) . Autenticación de cuarto factor: alguien que conoces . pag. 168. doi : 10.1145 / 1180405.1180427 . ISBN 978-1595935182.
enlaces externos
- Restablecimiento de contraseña de autoservicio en Healthcare Health Management Technology 2012 (consultado el 19 de junio de 2019)
- Hoja de referencia de contraseña olvidada Proyecto de seguridad de aplicaciones web abiertas (recuperado el 19 de junio de 2019)
- Autoservicio de contraseñas desde cualquier dispositivo, en cualquier lugar y en cualquier momento Tecnología de gestión de contraseñas basada en ESB de próxima generación de ILANTUS Technologies (recuperado el 19-06-2019)
- Portal SucureMFA SSPR Portal de autoservicio de restablecimiento de contraseña con funcionalidad RBAC explicada utilizando contenido de video (recuperado el 17 de enero de 2021)