Restablecimiento de contraseña por autoservicio

Método de autenticación de cuenta web

El restablecimiento de contraseña por autoservicio ( SSPR ) se define como cualquier proceso o tecnología que permite a los usuarios que han olvidado su contraseña o han provocado un bloqueo por intrusos autenticarse con un factor alternativo y reparar su propio problema sin llamar al servicio de asistencia. Es una característica común en el software de gestión de identidades y, a menudo, se incluye en el mismo paquete de software que una capacidad de sincronización de contraseñas .

Por lo general, los usuarios que han olvidado su contraseña inician una aplicación de autoservicio desde una extensión del mensaje de inicio de sesión de su estación de trabajo, utilizando su propio navegador web o el de otro usuario, o mediante una llamada telefónica. Los usuarios establecen su identidad , sin utilizar su contraseña olvidada o deshabilitada, respondiendo a una serie de preguntas personales, utilizando un token de autenticación de hardware , respondiendo a un correo electrónico de notificación o, con menos frecuencia, proporcionando una muestra biométrica como el reconocimiento de voz. Los usuarios pueden entonces especificar una contraseña nueva, desbloqueada, o solicitar que se les proporcione una generada aleatoriamente.

El restablecimiento de contraseñas por cuenta propia acelera la resolución de problemas para los usuarios "después del hecho" y, por lo tanto, reduce el volumen de llamadas al servicio de asistencia. También se puede utilizar para garantizar que los problemas de contraseñas solo se resuelvan después de una autenticación adecuada del usuario, eliminando así una debilidad importante de muchos servicios de asistencia: los ataques de ingeniería social , en los que un intruso llama al servicio de asistencia, se hace pasar por el usuario víctima previsto, afirma haber olvidado la contraseña de la cuenta y solicita una nueva contraseña.

Autenticación multifactor

En lugar de simplemente pedir a los usuarios que respondan preguntas de seguridad, los sistemas modernos de restablecimiento de contraseñas también pueden aprovechar una secuencia de pasos de autenticación:

• Pedir a los usuarios que completen un CAPTCHA para demostrar que son humanos.
• Pedir a los usuarios que introduzcan un PIN que se envía a su dirección de correo electrónico personal o a su teléfono móvil.
• Requerir el uso de otra tecnología, como un token de contraseña de un solo uso.
• Aproveche la biometría, como la huella de voz.
• Un autenticador , como Google Authenticator o un código SMS.

Seguridad de autenticar usuarios únicamente mediante preguntas de seguridad

A pesar de los beneficios, un restablecimiento de contraseñas por cuenta propia que dependa únicamente de respuestas a preguntas personales puede introducir nuevas vulnerabilidades, ^{[1] [2]} ya que las respuestas a dichas preguntas a menudo se pueden obtener mediante ingeniería social, técnicas de phishing o una simple investigación. Si bien a los usuarios se les recuerda con frecuencia que nunca revelen su contraseña, es menos probable que traten como confidenciales las respuestas a muchas preguntas de seguridad de uso común, como nombres de mascotas, lugar de nacimiento o película favorita. Gran parte de esta información puede estar disponible públicamente en las páginas de inicio personales de algunos usuarios. Otras respuestas pueden obtenerse si alguien simula realizar una encuesta de opinión u ofrece un servicio de citas gratuito. Dado que muchas organizaciones tienen formas estándar de determinar los nombres de inicio de sesión a partir de los nombres reales, un atacante que conozca los nombres de varios empleados de una organización de este tipo puede elegir aquella cuyas respuestas de seguridad se obtengan más fácilmente.

Esta vulnerabilidad no se debe estrictamente al restablecimiento de contraseñas por cuenta propia, sino que suele existir en el servicio de asistencia antes de la implementación de la automatización. La tecnología de restablecimiento de contraseñas por cuenta propia se suele utilizar para reducir este tipo de vulnerabilidad, introduciendo factores de autenticación de llamadas más fuertes que los que utilizaba el servicio de asistencia operado por personas antes de la implementación de la automatización.

En septiembre de 2008, la cuenta de correo electrónico de Yahoo de la gobernadora de Alaska y candidata a la vicepresidencia de los Estados Unidos, Sarah Palin, fue accedida sin autorización por alguien que pudo investigar las respuestas a dos de sus preguntas de seguridad, su código postal y fecha de nacimiento, y pudo adivinar la tercera, dónde conoció a su marido. ^[3] Este incidente puso de relieve claramente que la elección de las preguntas de seguridad es muy importante para prevenir ataques de ingeniería social a los sistemas de contraseñas.

Autenticación basada en preferencias

Jakobsson, Stolterman, Wetzel y Yang propusieron utilizar preferencias para autenticar a los usuarios para el restablecimiento de contraseñas. ^{[4] [5]} Las ideas subyacentes son que las preferencias son estables durante un largo período de tiempo, ^[6] y no se registran públicamente. Su enfoque incluye dos fases: configuración y autenticación . Durante la configuración, se le pide al usuario que seleccione los elementos que le gustan o no le gustan de varias categorías de elementos que se seleccionan dinámicamente de un gran conjunto de candidatos y se presentan al usuario en un orden aleatorio. Durante la fase de autenticación, se les pide a los usuarios que clasifiquen sus preferencias (gusto o disgusto) para los elementos seleccionados que se les muestran en un orden aleatorio. Jakobsson, Stolterman, Wetzel y Yang evaluaron la seguridad de su enfoque mediante experimentos de usuario, emulaciones de usuario y simulaciones de atacantes.

Restablecimientos basados ​​en correo electrónico o teléfono

Muchos sistemas basados ​​en la web que no utilizan el inicio de sesión único permiten a los usuarios enviar un enlace para restablecer la contraseña a su dirección de correo electrónico o número de teléfono registrados. Sin embargo, muchas plataformas de redes sociales importantes revelan una parte de la dirección de correo electrónico de un usuario y algunos de los dígitos del número de teléfono cuando se utiliza la función de "contraseña olvidada". A menudo, la dirección de correo electrónico completa se puede derivar de esta pista. ^[7]

Autenticación de dos factores

La autenticación de dos factores es un método de "autenticación fuerte", ya que añade otra capa de seguridad al proceso de restablecimiento de contraseña. En la mayoría de los casos, consiste en una autenticación basada en preferencias más una segunda forma de autenticación física (utilizando algo que el usuario posee, es decir, tarjetas inteligentes, tokens USB, etc.). Un método popular es a través de SMS y correo electrónico. El software SSPR avanzado requiere que el usuario proporcione un número de teléfono móvil o una dirección de correo electrónico personal durante la configuración. En caso de restablecer la contraseña, se enviará un código PIN al teléfono o correo electrónico del usuario y deberá ingresar este código durante el proceso de restablecimiento de contraseña. La tecnología moderna también permite la autenticación mediante biometría de voz utilizando tecnología de reconocimiento de voz . ^[8]

Acceso a plataforma para reinicio

Un problema importante con el restablecimiento de contraseñas por cuenta propia en corporaciones y organizaciones similares es permitir que los usuarios accedan al sistema si olvidaron su contraseña principal. Dado que los sistemas SSPR suelen estar basados ​​en la web, los usuarios necesitan iniciar un navegador web para solucionar el problema, pero no pueden iniciar sesión en la estación de trabajo hasta que se resuelva el problema. Existen varios enfoques para abordar este dilema, la mayoría de los cuales son compromisos (por ejemplo, implementación de software de escritorio, cuenta de restablecimiento de contraseñas para todo el dominio, acceso telefónico, visitar a un vecino, seguir llamando al servicio de asistencia, etc.). Algunas empresas han creado software que presenta un navegador web restringido en la pantalla de inicio de sesión con la única capacidad de acceder a la página de restablecimiento de contraseña sin iniciar sesión en el sistema; un ejemplo de esto es la tecnología Client Login Extension de Novell . Debido a que estas tecnologías brindan al usuario acceso efectivo a los recursos de la computadora, específicamente a un navegador web, para restablecer contraseñas sin autenticarse en la computadora, la seguridad es una alta prioridad y las capacidades son muy limitadas, de modo que el usuario no puede hacer más de lo que se espera en este modo.

Hay dos problemas adicionales relacionados con el de los usuarios bloqueados:

• Usuarios móviles, físicamente lejos de la red corporativa, que olvidaron la contraseña de inicio de sesión de su PC.
• Contraseñas almacenadas en caché por el sistema operativo o el navegador, que podrían seguir ofreciéndose a los servidores después de un cambio de contraseña iniciado en otra computadora (servicio de asistencia técnica, servidor web de gestión de contraseñas, etc.) y, por lo tanto, desencadenar un bloqueo contra intrusos.

La opción de aval

Junto con la autenticación basada en preferencias, los procedimientos de restablecimiento de contraseñas por cuenta propia también podrían basarse en la red de relaciones humanas existentes entre los usuarios. En este escenario, el usuario que olvidó la contraseña pide ayuda a un colega. El colega "ayudante" se autentica con la aplicación de restablecimiento de contraseñas y avala la identidad del usuario. ^{[9] [10]}

En este escenario, el problema cambia de uno de autenticar al usuario que olvidó la contraseña a uno de comprender qué usuarios deberían tener la capacidad de responder por otros usuarios.

Autorización RBAC

Si bien es importante proporcionar autenticación multifactor cuando el punto final del software SSPR se enfrenta a redes no confiables, existe otro aspecto importante que el SSPR moderno debe abordar. Se trata de la función de control de acceso basado en roles (RBAC), que es responsable de la provisión de niveles de acceso para los usuarios. Al realizar restablecimientos de contraseñas de autoservicio críticos para cuentas privilegiadas, es posible que desee permitir el desbloqueo de cuentas y restringir la funcionalidad de cambio de contraseña. Los equipos de soporte tienen la responsabilidad de cambiar las contraseñas de estas cuentas. Puede encontrar más información y videos sobre cómo funcionan estos portales en la práctica en la sección de enlaces externos llamada Portal SSPR SecureMFA.

Referencias

1. Griffith, Virgil (2005). "Messin' with Texas Deriving Mother's Maiden Names Using Public Records" (Messin' with Texas: derivación de los apellidos de soltera de las madres mediante registros públicos). Applied Cryptography and Network Security (PDF) (Apuntes de clase en informática). Vol. 3531. págs. 91–103. doi :10.1007/11496137_7. ISBN 978-3-540-26223-7.
2. Rabkin, Ariel (2008). "Preguntas sobre conocimientos personales para la autenticación de respaldo: preguntas de seguridad en la era de Facebook" (PDF) . Actas del 4.º simposio sobre privacidad y seguridad utilizables . pp. 13–23. doi :10.1145/1408664.1408667. ISBN . 9781605582764.S2CID6309745  .​
3. "Hacker se hizo pasar por Palin y robó contraseña de correo electrónico". 18 de septiembre de 2008. Archivado desde el original el 2 de octubre de 2008.
4. Jakobsson, Markus; et al. (2008). "Love and Authentication" (PDF) . Actas de la vigésimo sexta conferencia anual de CHI sobre factores humanos en sistemas informáticos - CHI '08 . pp. 197–200. CiteSeerX 10.1.1.145.6934 . doi :10.1145/1357054.1357087. ISBN .  9781605580111. S2CID  2199454. Archivado desde el original (PDF) el 25 de abril de 2017. Consultado el 30 de abril de 2021 .
5. Jakobsson, Markus; et al. (2008). "Cuantificación de la seguridad de la autenticación basada en preferencias" (PDF) . Actas del 4.º taller de la ACM sobre gestión de identidad digital - DIM '08 . pp. 61–70. CiteSeerX 10.1.1.150.7577 . doi :10.1145/1456424.1456435. ISBN .  9781605582948.S2CID16199928  .​
6. Crawford, Duane; et al. (1986). "La estabilidad de las preferencias de ocio". Revista de investigación sobre ocio . 18 (2): 96–115. doi :10.1080/00222216.1986.11969649.
7. Cox, Joseph (15 de abril de 2016). «Habilite esta configuración para que la gente no pueda adivinar su dirección de correo electrónico desde su cuenta de Twitter» . Consultado el 17 de enero de 2021 .
8. Inference Solutions (2015). "Restablecimiento de contraseñas por cuenta propia: ¿Un sueño imposible o una realidad? - Inference". Archivado desde el original el 5 de marzo de 2016. Consultado el 20 de mayo de 2015 .
9. Finetti, Mario (30 de enero de 2022). "Restablecimiento de contraseñas por cuenta propia en grandes organizaciones".
10. RSA Laboratories (2006). "Autenticación de cuarto factor: alguien a quien conoces" (PDF) . Actas de la 13.ª conferencia de la ACM sobre seguridad informática y de las comunicaciones . pp. 168–178. doi :10.1145/1180405.1180427. ISBN . 978-1595935182.S2CID 1979527  .

Enlaces externos

• Restablecimiento de contraseña por autoservicio en Healthcare Health Management Technology 2012 (consultado el 19 de junio de 2019)
• Hoja de referencia para el caso de olvido de contraseña del proyecto Open Web Application Security (recuperado el 19 de junio de 2019)
• Autogestión de contraseñas desde cualquier dispositivo, en cualquier lugar y en cualquier momento Tecnología de gestión de contraseñas basada en ESB de última generación de ILANTUS Technologies (recuperado el 19 de junio de 2019)
• Portal SSPR de SucureMFA Portal de restablecimiento de contraseña de autoservicio con funcionalidad RBAC explicado mediante contenido de video (recuperado el 17 de enero de 2021)