В данной статье мы рассмотрим оптимальный способ реализации процесса смены пароля. Это, пожалуй, одни из самых важных моментов в отношении обеспечения информационной безопасности, который часто недооценивают. Из-за людского фактора и паролей «1234», многие компании теряют миллионы.
Итак, нам нужно реализовать правильную методику для смены пароля, снизив количество людей принимающих в этом участие до минимума, обезопасив способ передачи самого пароля, а также упростив его значение до приемлемого размера. Исходя из этого, мы составили 10 советов:
1. Используйте UI kit для смены пароля
Оформление письма и страницы для смены пароля с помощью UI kit – это эффективный, стильный и удобный способ реализации процесса. Сотрудник интуитивно поймет с чем он имеет дело.
2. Простые тексты
Не нужно городить сложносочиненные предложения в пользовательских окнах. Это запутывает и пугает сотрудника, усложняя само понимание процесса. Соблюдайте редакционную политику заказчика и упростите текст по максимуму.
3. Данные о последнем сбросе пароля
Наша основная цель – обеспечение информационной безопасности. А потому, обеспечьте вывод информации о последней смене пароля с указанием устройства и IP-адреса, с которого это было сделано. Пользователь будет иметь возможность следить за состоянием своего аккаунта и сможет вовремя сообщить о несанкционированном доступе. Данную информацию лучше выделить цветом и фоном от остального текста.
4. Временная ссылка для смены пароля
Общепринятая практика с внедрением временных ссылок для смены пароля – это эффективный способ для недопущения несанкционированного доступа и обеспечения информационной безопасности. Не стоит её игнорировать. Ограничьте время работы ссылки до максимально возможного.
5. Ограничьте использование сторонних библиотек
Если ваша страница авторизации подгружает множество различных библиотек – это серьезно снижает уровень безопасности. Каждая новая страница, на которую указывает отдельная ссылка, не должна использовать лишние библиотеки. Тем более, если они подгружаются извне.
6. Оптимальное изолирование техподдержки
Служба технической поддержки не должна принимать участие в процессе смены пароля пользователем. Он должен быть автоматизирован. Если вы организуете все просто и эффективно, то пользователь справится сам без сторонней помощи. Только в случае крайней необходимости в ход вступает техподдержка: невозможность авторизации, ошибки при смене пароля и т.д.
7. Удобный UI для техподдержки
Каждый сотрудник техподдержки сможет куда быстрее решать задачи с проблемными заявками, если он сможет видеть их в отдельной системе с приятной UI.
8. Логирование ошибок
На работу техподдержки также положительно влияет логирование ошибок. Имея подробный отчет о последних действиях пользователя, куда проще установить причину их возникновения. Основными параметрами для поиска могут быть время начала процесса, логин пользователя, а также дата подачи самой заявки.
9. Смена пароля техподдержкой
В исключительных случаях, пароль нужно сменить не руками пользователя, а с помощью самих сотрудников техподдержки. Поэтому, такая возможность должна быть предусмотрена. Естественно, процесс нужно максимально обезопасить с помощью отдельных страниц и отсутствия лишних библиотек. Само окно необходимо автоматически закрывать после подтверждения смены пользователем.
10. Статистика поступающих запросов и заявок
Для повышения эффективности и безопасности в целом, не лишним будет создать систему для анализа и составления отчетов, исходя из данных поступающих заявок и запросов. В этом вам может помочь Serilog, ELK и Grafana. В последней программе вы сможете наблюдать за действиями пользователя с помощью специальных линий:
a. Посредством зеленой линии отображается информация о том, что пользователя удалось найти в домене.
b. Красная линия говорит о том, что пользователя не удалось найти в домене, а ее стремление вверх показывает, что кто-то пытался зайти в систему больше одного раза за сутки.
c. Зелёная линия говорит о том, что пользователю удалось запросить ссылку для смены пароля.
d. Ещё одна красная линия говорит о том, что пользователю не удалось перейти на страницу для смены пароля из-за устаревшего ID.
В результате, имеем 4 графика:
Решить вопрос надежности механизма смены пароля и комплексного обеспечения информационной безопасности помогут наши опытные специалисты. Обращайтесь [email protected]
About The Author
Виктор