Skip to main content

V2.5.6 Credential Recovery

Requirement:#

Verify forgotten password, and other recovery paths use a secure recovery mechanism, such as time-based OTP (TOTP) or other soft token, mobile push, or another offline recovery mechanism. (C6)

Explanation:#

Более дешевой и простой альтернативой аппаратным токенам является использование программного обеспечения для генерации кодов одноразового пароля на основе времени (TOTP). Обычно это предполагает, что пользователь устанавливает приложение TOTP на свой мобильный телефон, а затем сканирует QR-код, предоставленный веб-приложением, которое предоставляет начальное число. Затем приложение-аутентификатор генерирует шестизначное число каждые 60 секунд, почти так же, как аппаратный токен.

Большинство веб-сайтов используют стандартизированные токены TOTP, что позволяет пользователю устанавливать любое приложение для проверки подлинности, поддерживающее TOTP. Однако небольшое количество приложений используют свои собственные варианты этого (например, Symantec), что требует от пользователей установки определенного приложения для использования службы. Этого следует избегать в пользу подхода, основанного на стандартах.

Remediation:#

Исправление процесса забытого пароля и других путей восстановления, чтобы убедиться, что они используют безопасный механизм восстановления, является важным шагом в повышении безопасности системы учетных записей. Вот несколько шагов, которые можно предпринять для исправления:

  • Внедрите безопасные механизмы восстановления: Рассмотрите возможность внедрения безопасных механизмов восстановления, таких как OTP на основе времени (TOTP), программные токены, мобильные push-уведомления или другие механизмы автономного восстановления.
  • Включить многофакторную аутентификацию: Требование многофакторной аутентификации для восстановления пароля может помочь предотвратить несанкционированный доступ к учетной записи.
  • Внедрите безопасные процессы сброса пароля: убедитесь, что процессы сброса пароля безопасны и соответствуют рекомендациям, таким как отправка ссылок для сброса пароля только на зарегистрированный адрес электронной почты или требование вторичной формы аутентификации для сброса пароля.
  • Регулярно проверяйте и обновляйте процессы восстановления: Регулярно проверяйте и обновляйте процессы восстановления пароля и другие процессы восстановления, чтобы убедиться, что они по-прежнему соответствуют рекомендациям и безопасны.
  • Обучите персонал: Обучите персонал важности безопасных процессов восстановления и шагам, которые они должны предпринять, чтобы гарантировать, что процессы восстановления безопасны и соответствуют передовым методам. 

В заключение, использование безопасных механизмов восстановления учетной записи имеет важное значение для повышения безопасности системы учетных записей. Внедрив безопасные механизмы восстановления, включив многофакторную аутентификацию и регулярно пересматривая и обновляя процессы восстановления, организации могут помочь предотвратить несанкционированный доступ к учетным записям пользователей и защитить конфиденциальную информацию.

Additional:#

Edit this page