組織にパスワードリセットを担当するヘルプデスクまたはその他のスタッフがいる場合、パスワード・リセット・チケットはハッカーにとってのチャンスであることを忘れないでください。従業員、ベンダー、お客様がパスワードを忘れた場合、そのアカウントは脆弱になります。パスワード管理、そして最終的にIDおよびアクセス管理のベストプラクティスに従わないと、ヘルプデスクのプロセスがさらに脆弱性を作り出す可能性があります。ハッカーに攻撃の機会を与えてはいけません。ヘルプデスクとパスワードリセット処理が安全であることを確認してください。
まず、ヘルプデスクが安全であることを確認します。ヘルプデスクが攻撃の標的となることはよくあります。そのため、自社のセキュリティ対策ができていることを確認してください。つまり、安全なマシン、セキュリティトレーニング、およびNISTに準拠したプロセスが必要です。
次に、ユーザからパスワードを忘れたという電話またはEメールが来た場合、ユーザ確認から始めます。つまり、ユーザがアカウントの所有者であることを確認します。また、その確認プロセスが、ハッカーにとって侵入するのが難しいことを確認します。これは一般的なセキュリティ質問を使用しないことを意味します。母親の旧姓、ユーザの高校、従業員の入社日といった従来の質問の答えは、サイバー犯罪者がオンラインで簡単に発見できる情報です。
理想的には、多要素認証(MFA)を使用してユーザを確認します。カードキーを要求するMFAやユーザにEメールや携帯メールへの応答を求めるMFAは、効率的なIDおよびアクセス管理のため、お勧めです。これが不可能な場合は、ハッカーが簡単に見つけることができない個人的な情報に基づいた一連の質問をしてください。
ヘルプデスクの中には、パスワードリセットのリクエストに対して、仮パスワードを発行するところがあります。これは望ましいアプローチではありません。パスワードを知っている人が少なくとも2人いることを意味するからです。また、仮パスワードをユーザに伝える必要がありますが、これは侵入の機会を与えることになります。
このアプローチを取る必要がある場合は、次のガイドラインに従ってください。
仮パスワードを送信する場合は、ユーザがその仮パスワードから新しいものに変更したことを確認する方法が必要です。また、パスワードの要件により、ユーザが考えた新しいパスワードも強力なパスワードとなることが保証される必要があります。
Eメールによるリクエストに応答する場合も、ハッカーからのリセットリクエストでないことを確認する検証プロセスが必要です。安全のために、パスワードリセットのリクエストがあったこと、またはパスワードがリセットされたことを、ユーザにEメールまたはその他の手段で別途、伝えてください。その際、ユーザがリセットのリクエストをしていない場合に攻撃を食い止めることができるように、ヘルプデスクに連絡する方法を含めます。
絶対に、リクエストに対する返信メールで新しいパスワードまたは仮パスワードを送信しないでください。Eメールにアカウント所有者のユーザ名を記載してもいけません。記載すると、Eメールを傍受して資格情報のペアの半分を取得する機会をハッカーに与えてしまいます。理想的には、パスワードリセットのリンクを送信します。この方法では仮パスワードは不要で、ユーザは自分でパスワードをリセットできます。これを行う場合、
リセットリンク自体については、リダイレクト先やリセット後に移動する「ありがとうございます」ページに、ユーザまたはユーザが持つアカウントの種類に関する情報が表示されないように注意してください。例えば、管理者ログインやポートフォリオ・アカウント・ログインにリダイレクトして、ユーザの特権や所有するものに関する情報を潜在的なハッカーに公開するようなことがないようにします。
最後に、従業員およびお客様を教育する機会としてリセットを使用します。セキュリティを強化することを理解し、取り組む従業員が多いほど、安全性が高まります。覚えるのが大変な強力なパスワードの重要性、そして自分のアカウントが漏洩した場合の危険性を理解してもらいましょう。
パスワードリセットをまだ手動で行っている場合、これがコストのかかるプロセスであることをご存知でしょう。今日では、パスワードリセットを簡単に行うツールが多数あります。最も優れたツールでは、ユーザによる自動パスワードリセットを実行できるようにすることで、IT/ヘルプデスクをパスワードリセット対応から完全に開放します。自動パスワード・リセット・ツールでは多要素認証が必要なうえ、パスワード要件が厳しいことがありますが、ユーザをイライラさせる遅延や、手動プロセスに内在する脆弱性の多くが排除されます。