Skip to main content

V2.5.3 Credential Recovery

Requirement:#

Verify password credential recovery does not reveal the current password in any way. (C6)

Explanation:#

Механизмы восстановления пароля предназначены для того, чтобы пользователи могли сбросить свои пароли, если они забыли или потеряли их. В процессе обычно пользователь предоставляет некоторую информацию, например дополнительный адрес электронной почты или секретные ответы, чтобы подтвердить свою личность и сбросить пароль. Важно убедиться, что механизмы восстановления пароля никоим образом не раскрывают текущий пароль, так как это может поставить под угрозу безопасность учетной записи пользователя. Для этого процесс восстановления пароля не должен извлекать или отображать текущий пароль, а вместо этого генерировать новый пароль и отправлять его пользователю по защищенному каналу. Новый пароль должен быть зашифрован или хэширован перед его сохранением или передачей, чтобы предотвратить несанкционированный доступ. Таким образом, цель восстановления пароля состоит в том, чтобы предоставить пользователям безопасный механизм для сброса своих паролей, не раскрывая текущий пароль и не ставя под угрозу безопасность учетной записи пользователя.

Remediation:#

Вот несколько шагов, которые организации могут предпринять, чтобы убедиться, что их процесс восстановления пароля безопасен и не раскрывает текущий пароль:

  1. Многофакторная аутентификация.

Требование нескольких методов аутентификации, таких как пароль и токен безопасности, может помочь предотвратить несанкционированный доступ к учетной записи во время процесса восстановления пароля.

  1. Зашифрованная связь.

Вся связь между пользователем и системой в процессе восстановления пароля должна быть зашифрована, чтобы предотвратить прослушивание или несанкционированное вмешательство.

  1. Надежное хранение паролей. Пароли должны храниться с использованием безопасных методов хеширования и добавления соли, чтобы предотвратить несанкционированный доступ в случае утечки данных.

  2. Подтверждение личности пользователя.

Процесс восстановления пароля должен включать в себя этапы проверки личности пользователя, такие как ответы на секретные вопросы или предоставление дополнительного адреса электронной почты, чтобы предотвратить несанкционированный сброс пароля.

  1. Количество попыток сброса пароля.

Чтобы предотвратить атаки методом грубой силы, следует ограничить количество попыток сброса пароля и внедрить политики блокировки учетных записей после определенного количества неудачных попыток.

  1. Обновление политик безопасности.

Необходимо регулярно пересматривать и обновлять политики безопасности, чтобы убедиться, что они актуальны и соответствуют передовым методам защиты паролей.

  1. Инструкции.

Предоставить пользователям четкие и подробные инструкции о том, как сбросить пароль, включая информацию, которую им необходимо будет предоставить, и шаги, которые им необходимо будет выполнить. Это может помочь избежать путаницы и обеспечить правильность процесса восстановления пароля.

Additional:#

Edit this page