Правильная смена пароля

13 ноября 2018 / By Виктор
  • Home
  • Правильная смена пароля

В данной статье мы рассмотрим оптимальный способ реализации процесса смены пароля. Это, пожалуй, одни из самых важных моментов в отношении обеспечения информационной безопасности, который часто недооценивают. Из-за людского фактора и паролей «1234», многие компании теряют миллионы.

Итак, нам нужно реализовать правильную методику для смены пароля, снизив количество людей принимающих в этом участие до минимума, обезопасив способ передачи самого пароля, а также упростив его значение до приемлемого размера. Исходя из этого, мы составили 10 советов:

1. Используйте UI kit для смены пароля

Оформление письма и страницы для смены пароля с помощью UI kit – это эффективный, стильный и удобный способ реализации процесса. Сотрудник интуитивно поймет с чем он имеет дело.

2. Простые тексты

Не нужно городить сложносочиненные предложения в пользовательских окнах. Это запутывает и пугает сотрудника, усложняя само понимание процесса. Соблюдайте редакционную политику заказчика и упростите текст по максимуму.

3. Данные о последнем сбросе пароля

Наша основная цель – обеспечение информационной безопасности. А потому, обеспечьте вывод информации о последней смене пароля с указанием устройства и IP-адреса, с которого это было сделано. Пользователь будет иметь возможность следить за состоянием своего аккаунта и сможет вовремя сообщить о несанкционированном доступе. Данную информацию лучше выделить цветом и фоном от остального текста.

Информирование пользователя о последней смене пароля

4. Временная ссылка для смены пароля

Общепринятая практика с внедрением временных ссылок для смены пароля – это эффективный способ для недопущения несанкционированного доступа и обеспечения информационной безопасности. Не стоит её игнорировать. Ограничьте время работы ссылки до максимально возможного.

5. Ограничьте использование сторонних библиотек

Если ваша страница авторизации подгружает множество различных библиотек – это серьезно снижает уровень безопасности. Каждая новая страница, на которую указывает отдельная ссылка, не должна использовать лишние библиотеки. Тем более, если они подгружаются извне.

6. Оптимальное изолирование техподдержки

Служба технической поддержки не должна принимать участие в процессе смены пароля пользователем. Он должен быть автоматизирован. Если вы организуете все просто и эффективно, то пользователь справится сам без сторонней помощи. Только в случае крайней необходимости в ход вступает техподдержка: невозможность авторизации, ошибки при смене пароля и т.д.

7. Удобный UI для техподдержки

Каждый сотрудник техподдержки сможет куда быстрее решать задачи с проблемными заявками, если он сможет видеть их в отдельной системе с приятной UI.

8. Логирование ошибок

На работу техподдержки также положительно влияет логирование ошибок. Имея подробный отчет о последних действиях пользователя, куда проще установить причину их возникновения. Основными параметрами для поиска могут быть время начала процесса, логин пользователя, а также дата подачи самой заявки.

Логирование ошибок как средство обеспечения информационной безопасности

9. Смена пароля техподдержкой

В исключительных случаях, пароль нужно сменить не руками пользователя, а с помощью самих сотрудников техподдержки. Поэтому, такая возможность должна быть предусмотрена. Естественно, процесс нужно максимально обезопасить с помощью отдельных страниц и отсутствия лишних библиотек. Само окно необходимо автоматически закрывать после подтверждения смены пользователем.

Окно смены пароля техподдержкой

10. Статистика поступающих запросов и заявок

Для повышения эффективности и безопасности в целом, не лишним будет создать систему для анализа и составления отчетов, исходя из данных поступающих заявок и запросов. В этом вам может помочь Serilog, ELK и Grafana. В последней программе вы сможете наблюдать за действиями пользователя с помощью специальных линий:
a. Посредством зеленой линии отображается информация о том, что пользователя удалось найти в домене.
b. Красная линия говорит о том, что пользователя не удалось найти в домене, а ее стремление вверх показывает, что кто-то пытался зайти в систему больше одного раза за сутки.

Учет активности пользователя для обеспечения информационной безопасности

c. Зелёная линия говорит о том, что пользователю удалось запросить ссылку для смены пароля.
d. Ещё одна красная линия говорит о том, что пользователю не удалось перейти на страницу для смены пароля из-за устаревшего ID.

Дополнительные графики для отслеживания активности в аккаунте

В результате, имеем 4 графика:

Информационные графики для комплексного обеспечения информационной безопасности

Решить вопрос надежности механизма смены пароля и комплексного обеспечения информационной безопасности помогут наши опытные специалисты. Обращайтесь [email protected]

About The Author

Виктор

Leave a Comment

*Please complete all fields correctly

В блоге представлены не только мои материалы, я делаю композицию из разных материалов, а так же размещаю переводы интересных тем.

Популярные статьи
Комментарии