Resolviendo el dilema de la primera contraseña

Muchas veces las empresas utilizan una contraseña inicial que es parcial o totalmente estática (verano2017?), otras veces se utiliza alguna fórmula en la cual se incluyen datos parciales del usuario como el mes de nacimiento + los tres dígitos finales de RUT, etc. Cada uno sabe cómo lo hacen en su empresa…adicionalmente, el medio por el cual se le hace llegar esta contraseña inicial al usuario muchas veces deja bastante que desear, se envía a un correo personal, o peor aún se imprime en un papel que pasa por varias manos antes de llegar a destino.

El objetivo de esta POC es eliminar la contraseña estática y mejorar la validación inicial reemplazando la contraseña con un OTP/TOTP. En esta ocasión utilizaremos Active Roles para facilitar la creación de un usuario mediante una interfaz web delegada a la Mesa de Ayuda o a Recursos Humanos. La herramienta nos ayuda a validar y estandarizar los valores ingresados, entre los cuales designaremos el número telefónico como obligatorio. Una vez creado el usuario, aprovechando la integración de Password Manager con la pantalla de login de Windows, este se validará por SMS o llamada de voz, aunque también está la alternativa de validar con Defender (nuestro token/TOTP), si así lo prefiere. De esta forma el usuario ingresa a su PC, correo electrónico, sitio SharePoint, O365, bases de datos y cualquier otro recurso aprovisionado automáticamente, sin la necesidad de llamar a la Mesa de Ayuda y sin necesidad de hacerle llegar esa contraseña inicial. ¿Ya se está imaginando el ahorro en tiempo y dinero?

Hey ho, Let’s go!

Figura 1: Política de aprovisionamiento aplicada en Active Roles.

 

Figura 2: Creamos la cuenta del nuevo empleado, nótese en gris como Active Roles genera en forma automática el Display Name, SamAccount, etc.

 

Figura 3: Tenemos la opción de generar una contraseña única acorde a la política de complejidad del dominio.

 

Figura 4: Los campos “Cargo” y “Oficina” no solo son obligatorios sino que también se provee una lista para elegir. El teléfono también es obligatorio y se valida el formato apropiado.

 

Figura 5: Se creará en forma automática un buzón en Exchange.

 

Para habilitar la autogestión del usuario utilizaremos Password Manager, en particular la integración con la pantalla de login de Windows (SPE, GINA), y la validación telefónica.

Figura 6: Agregamos la validación telefónica al fujo, nótese que también se puede validar por Defender (token TOTP).

 

Figura 7: Configuramos la diferentes opciones disponibles.

 

Figura 8: El usuario se enfrenta a un PC, sin una contraseña. En lugar de llamar por ayuda, pincha el enlace “Contraseña olvidada”.

 

Figura 9: Sin iniciar sesión, se abre el navegador en la página de Password Manager.

 

Figura 10: Para enrolarse en la herramienta debe configurar su perfil de preguntas y respuestas.

 

Figura 11: Captcha (configurable) para evitar ataques automatizados.

 

Figura 12: Password Manager obtiene el número telefónico desde el AD para enviar el código de validación.

 

Figura 13: El usuario recibe el SMS e ingresa el código para validarse.

 

Figura 14: Se llena el perfil de preguntas y respuestas. El perfil puede incluir preguntas obligatorias, opcionales, personales y preguntas exclusivas para la mesa de ayuda.

 

Figura 15: El usuario crea una contraseña.

 

Figura 16: ¡Éxito! El usuario está enrolado en el gestor de contraseñas y ya puede iniciar sesión con sus nuevas credenciales.

 

        

Conclusión

Utilizando dos herramientas del portafolio de One Identity podemos resolver el dilema de la contraseña inicial, generando una contraseña única y aleatoria que finalmente nadie va a utilizar ya que el usuario se validará a través de un OTP. Es una solución muy simple de implementar, ofrece un ROI a muy corto plazo y mejora la seguridad de la operación.

Hay quienes dicen que reducir costos implementando mayor seguridad es una falacia, ¡pero sí se puede!

¡Espero les sirva!

Anonymous