.

Réinitialisation des mots de passe au téléphone…

Publié par David Partouche le

Problématique de réinitialisation des mots de passe 

Au support technique vous êtes amené à réinitialiser les mots de passe pour les utilisateurs. 

Par conformité à la RGPD et aux réglementations de la CNIL vous êtes censé lors d’un changement de mot de passe cochez la case «  l’utilisateur devrait changer de mot de passe » à la prochaine ouverture de session. 

 En effet vous ne devez pas connaitre les mots de passe de vos collaborateurs.

Néanmoins votre méthode actuelle de changement de mot de passe est souvent sensible à une attaque par ingénierie sociale de la façon la plus simple puisqu’un collaborateur peut vous appeler pour demander de changer le mot de passe d’une personne qui est actuellement en congé et vous allez le faire sans vous préoccuper de vérifier son identité. 

Avec des clients nous avons identifié plusieurs méthodes qui permettraient de vérifier l’identité de l’appelant… 

Par exemple pouvez lui demander de vous envoyer par mail une copie de sa carte d’identité, le nom de son ordinateur ou encore son matricule ou sa carte d’agent. 

Vous pouvez également dans le cas où ce dernier dispose d’un accès à sa messagerie lui envoyer le mot de passe par email de cette façon uniquement la personne détentrice de la boîte mail du collaborateur aura accès au mot de passe et vous n’aurez pas divulgué le mot de passe sur une communication téléphonique. 

À l’avenir il est possible que vous mettiez en place un système plus sécurisé avec une application de gestion des questions secrètes qui permettront d’identifier le collaborateur de façon sûre. 

Si la sécurité vous semble une option sachez que récemment une feuille de paye a été détourné parce qu’une personne a mis un faux courrier sur la table du comptable demandant que le virement soit fait sur le nouveau relevé d’identité bancaire  a réussi a détourner plusieurs mois de salaire !

PS : Si vous n’avez pas coché la demande de changement de mot de passe à l’ouverture de session, demander à votre utilisateur de changer le mot de passe par email (afin de garder une trace écrite).

Prenez en compte qu’en cas de litige on prouvera via les logs des serveurs AD que les mots de passe n’ont pas été réinitialisé comme il faut.

Catégories : Non classé

0 commentaire

Laisser un commentaire

Emplacement de l’avatar

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Articles similaires

Non classé

Usages des certificats pour les utilisateurs finaux

J’ai voulu lister quelques cas dans lesquels on a besoin d’utiliser une PKI dans un environnement informatique…On a par exemple besoin de signer du code, des programmes, des documents, des drivers, des emails.. Je vais Lire la suite…

Non classé

Compétences & domaines d’activités

Voici une liste des domaines de formations et des missions que je peux assurer.. Je travaille également sur les produits suivants :

Active Directory

Préconisation pour les Contrôleurs de Domaine déployés dans une machine virtuelle

On rencontre souvent des Contrôleur de domaine virtualisée, aussi il est bon de rappeler les consignes à suivre pour ces serveurs particuliers.