我们从客户那里收到了很多密码重置请求(过期或丢失)。我想到了一个自动解决方案:
- 用户进入网页
- 输入他的用户名
- 系统拨打用户的手机号码(来自 AD 的号码)并告知用户 PIN 码
- 用户输入 PIN 并可以重置密码
您觉得这个解决方案怎么样?它是安全的还是有更好的方法?如果是,您知道如何解决吗?
先感谢您。
答案1
你要找的是自助密码重置。它甚至有一个缩写词(SSPR),是身份和访问管理的一部分。
许多供应商都发布了针对此问题的解决方案,尽管产品推荐不是这里的主题,但供应商包括 IBM、Hitachi ID Systems、Microsoft 和 Courion。
通常这是最便宜和最基本的服务。然而,大多数情况下,此功能基于辅助凭证(最常见的是安全问题,或“您是否知道您在任何事物“?”)。
我上面提到的供应商中至少有一个提供了与你所说的非常相似的现成解决方案,尽管在这些产品中,与手机配合使用的情况并不常见。
当然,这样做会改变您的安全足迹。如果您可以确保门户只能从企业内部访问(这实际上非常困难),您的电话号码列表是最新的,并且电话不会被盗(或为内部有线电话),那么这会更容易。如果这些电话是员工的个人移动电话,那么您系统中最薄弱的环节就是其中一个被盗或被攻破。在继续之前,请确保您对此没有异议。
还要记住,帮助台密码重置所需的妥协通常只是社交工程,并且可能知道帮助台人员可能会问的问题的答案(如果有的话),因此 SSPR 不太可能成为您最薄弱的环节。这是企业中经常被忽视的安全缺陷。
自己用 asp.net 和 lync 构建这个通常不是一个好计划。你会信任这个服务,并给它一个可以重置几乎任何其他帐户密码的帐户,所以这是一个非常容易被攻击的目标。我不愿意相信我快速破解的一些脚本。