Umożliwienie użytkownikom końcowym resetowania hasła lub odblokowania konta wiąże się z ryzykiem. Zdarza się, że atakujący podszywa się pod prawidłowego użytkownika w celu kradzieży poświadczeń. Aby upewnić się, że do portalu samoobsługowego dostęp będą mieli wyłącznie prawdziwi użytkownicy, niezbędne są ścisłe procedury uwierzytelniania pozwalające na sprawdzenie tożsamości użytkowników.
Aby upewnić się, że tylko użytkownicy autoryzowani mogą uzyskać dostęp do samoobsługowego portalu logowania, ADSelfService Plus wykorzystuje następujące metody uwierzytelniania pozwalające na weryfikację tożsamości użytkowników:
Administratorzy mogą wybrać wszystkie procedury uwierzytelniania, lub dowolne połączenie dostępnych metod, w zależności od potrzeb.
Użytkownicy rejestrują się w ADSelfService Plus odpowiadając na serię pytań natury osobistej; odpowiedzi są bezpiecznie zapisywane w formie zaszyfrowanej w bazie danych ADSelfService Plus. Aby zresetować swoje hasła lub odblokować swoje konta, użytkownicy muszą zweryfikować swoją tożsamość odpowiadając na pytania, które dodali wcześniej.
Administratorzy mogą dodatkowo wzmocnić weryfikację tożsamości przez nałożenie dodatkowych ograniczeń na pytania i odpowiedzi.
Kiedy użytkownik próbuje zresetować hasło lub odblokować konto, to na jego lub jej numer telefonu komórkowego lub adres e-mail wysyłany jest kod weryfikacji. Administratorzy mają również możliwość wysłania w wiadomości e-mail bezpiecznego łącza pozwalającego na zresetowanie hasła. Administratorzy mogą skonfigurować liczbę nieprawidłowych prób, po których użytkownikowi zostanie tymczasowo zablokowana możliwość zalogowania się.
Uwaga:Administratorzy mogą skonfigurować ADSelfService Plus do pobierania informacji o numerze telefonu komórkowego i adresie e-mail z odpowiednich atrybutów LDAP w Active Directory.
ADSelfService Plus obsługuje Google Authenticator, szeroko stosowaną zewnętrzną aplikację do uwierzytelniania na smartfony. Użytkownicy rejestrują się w ADSelfService Plus przez przeskanowanie kodu QR. Przy przeprowadzaniu dowolnego działania samoobsługi, użytkownik musi wprowadzić kod wyświetlany w aplikacji Google Authenticator w celu zweryfikowania swojej tożsamości.
Poza Google Authenticator, administratorzy mogą wykorzystywać inne zewnętrzne aplikacje uwierzytelniające oparte o czas, takie jak Microsoft Authenticator czy Sophos Authenticator.
Aby uniemożliwić złośliwym użytkownikom wielokrotnych prób zgadnięcia odpowiedzi, administratorzy mogą ustawić tymczasowe blokowanie dla dowolnego konta, które wprowadzi określoną liczbę nieprawidłowych odpowiedzi w określonym czasie.
Proces weryfikacji tożsamości zaczyna się, kiedy użytkownik uzyskuje dostęp do aplikacji ADSelfService Plus i klika na łącze „Resetuj hasło” lub „Odblokuj konto”. Po wprowadzeniu nazwy i domeny użytkownika, serwer ADSelfService Plus przeprowadza całą serię kontroli bezpieczeństwa.
Kontrola przynależności domeny: Sprawdza, czy użytkownik należy do określonej domeny.
Kontrola ustawień zasad: Sprawdza, czy użytkownik ma pozwolenie na resetowanie hasła lub odblokowanie konta przez ADSelfService Plus. Zasady ADSelfService Plus można skonfigurować tak, aby użytkownikowi końcowemu dostępne były tylko niektóre niezbędne funkcje.
Kontrola stanu rejestracji: sprawdza czy użytkownik zarejestrował się w ADSelfService Plus przez udzielenie odpowiedzi na pytania bezpieczeństwa, zaktualizowanie numeru telefonu komórkowego lub adresu e-mail oraz zsynchronizowanie konta w Google Authenticator. Tylko zarejestrowani użytkownicy mogą resetować hasła i odblokowywać konta.
Kontrola zablokowanych użytkowników: prawdza czy serwer ADSelfService Plus nie zablokował możliwości wykonywania działań samoobsługi przez dane konto użytkownika z uwagi na wielokrotne nieudane próby. Użytkownicy, którzy nie wprowadzą prawidłowego kodu weryfikacji i/lub odpowiedzi na pytania bezpieczeństwa zostaną zablokowani przez aplikację po określonej liczbie prób, zgodnie z ustawieniami administratora ADSelfService Plus. Zapewnia to bezpieczeństwo przed atakami opartymi o boty, atakami typu „odmowa usługi” czy innymi rodzajami ataków.
Po zakończeniu wstępnych kontroli, produkt przechodzi do zweryfikowania tożsamości użytkownika przez przeprowadzenie procedur uwierzytelniania skonfigurowanych przez administratora.
Dodatkowa warstwa zabezpieczeń: Często stosowana metoda zabezpieczeń oparta o pytania i odpowiedzi, stosowana w mediach społecznościowych stała się problematyczna, ponieważ użytkownicy podają pytania i odpowiedzi, które hackerzy mogą łatwo znaleźć. Przez dodanie kodów weryfikacji oraz Google Authenticator do procesu weryfikacji tożsamości, ADSelfService Plus znacząco zwiększa poziom bezpieczeństwa kont.
Przyjazna dla użytkownika: Łatwy dostęp do e-maila oraz telefonów komórkowych spowodował, że urządzenia te umożliwiają użytkownikom prostsze mobilne zarządzanie swoimi kontami.
Władza administratora: Administratorzy mają pełną kontroli nad tym, czy wybiorą jedno czy wszystkie tryby uwierzytelniania, w celu zwiększenia poziomu bezpieczeństwa.
Zawsze kiedy dany użytkownik zakończy działanie samoobsługi, to otrzymuje on od ADSelfService Plus powiadomienie pocztą e-mail. To powiadomienie stanowi sygnał alarmowy w przypadku nieupoważnionych działań na koncie i pozwala użytkownikowi na zareagowanie i zapobieżenie dalszym szkodom.
