Skip to main content

V2.2.3 General Authenticator Security

Requirement:#

Verify that secure notifications are sent to users after updates to authentication details, such as credential resets, email or address changes, logging in from unknown or risky locations. The use of push notifications - rather than SMS or email - is preferred, but in the absence of push notifications, SMS or email is acceptable as long as no sensitive information is disclosed in the notification.

Explanation:#

Это заявление относится к мерам безопасности, которые предпринимаются для информирования пользователей о любых изменениях, внесенных в их учетные данные. Цель состоит в том, чтобы пользователи знали о любых изменениях и могли предпринять соответствующие действия для защиты своих учетных записей. Например, если пользователь меняет свой адрес электронной почты, на новый адрес электронной почты должно быть отправлено безопасное уведомление, чтобы подтвердить изменение и убедиться, что пользователь знает об этом. Предпочтительный способ отправки этих уведомлений — push-уведомления, поскольку они, как правило, более безопасны и своевременны. Однако, если push-уведомления недоступны, уведомления можно отправлять по SMS или электронной почте, если они не содержат конфиденциальной информации.

Remediation:#

Следующие шаги могут быть предприняты в качестве исправления для безопасных уведомлений после обновления учетных данных:

  • Внедрите систему уведомлений: разработайте систему для отправки безопасных уведомлений пользователям после обновления их учетных данных. Система должна иметь возможность отправлять уведомления через push, SMS или электронную почту.
  • Подтвердите информацию о пользователе: подтвердите адрес электронной почты или номер телефона пользователя перед отправкой уведомления. Это обеспечит отправку уведомлений правильному пользователю. Использовать зашифрованную связь.
  • Используйте зашифрованные методы связи (например, HTTPS или TLS) при отправке уведомлений. Это обеспечит безопасную передачу уведомлений.
  • Избегайте отправки конфиденциальной информации: не включайте в уведомления конфиденциальную информацию, такую ​​как пароли или другую конфиденциальную информацию.
  • Отслеживайте уведомления: регулярно отслеживайте уведомления, чтобы убедиться, что они отправляются правильно и что пользователи их получают.
  • Тестируйте систему уведомлений. Регулярно проверяйте систему уведомлений, чтобы убедиться, что она работает правильно и уведомления отправляются должным образом.
  • Обновляйте систему уведомлений: регулярно обновляйте систему уведомлений, чтобы устранять любые уязвимости или ошибки безопасности, которые могут быть обнаружены. 

Следуя этим шагам, вы можете обеспечить отправку безопасных уведомлений пользователям после обновления их учетных данных, помогая защитить их учетные записи от несанкционированного доступа.

Additional:#

Edit this page