Hay muchas tareas que requieren mucha mano de obra que la mesa de servicio de TI lleva a cabo a diario. Nada tan tedioso y costoso como restablecer contraseñas.
Las mesas de servicio de TI modernas dedican una cantidad significativa de tiempo tanto a desbloquear como a restablecer contraseñas para los usuarios finales. Este problema se ha visto exacerbado por la pandemia de COVID-19.
Resumen
Causas de bloqueos de cuentas y restablecimientos de contraseñas
Las políticas de contraseñas de usuario final, como las que se encuentran en Microsoft Active Directory Domain Services (ADDS), normalmente definen un antigüedad de la contraseña. La antigüedad de la contraseña es el tiempo que un usuario final puede conservar su contraseña actual.
Si bien la nueva guía de NIST recomienda en contra de la noción de larga data de cambios de contraseña forzados, sigue siendo un mecanismo de seguridad común y requerido en otros estándares de cumplimiento y certificaciones de la industria como PCI y HITRUST.
Cuando se alcanza la antigüedad de la contraseña para la cuenta de usuario, el usuario debe cambiar la contraseña de su cuenta. Por lo general, se solicita en el próximo inicio de sesión en su estación de trabajo. Este escenario crea una serie de eventos probables. Muchos usuarios finales posponen el cambio de su contraseña, incluso si se les notifica con anticipación.
Los usuarios también tienen varios dispositivos móviles conectados a sus cuentas. Si un usuario no sincroniza todas las contraseñas del dispositivo cuando finalmente se cambia la contraseña de la cuenta, esto creará problemas que pueden provocar un bloqueo. Puede crear más confusión ya que el usuario final puede estar usando la contraseña correcta en su estación de trabajo.
¿Cuáles son los costos de los bloqueos de cuentas y restablecimientos de contraseñas?
Puede parecer que un simple restablecimiento de contraseña es un asunto trivial sin costo real para la empresa. Sin embargo, los datos muestran lo contrario. Un estudio del Gartner Group encontró que entre 20-50% de todas las llamadas a la mesa de servicio eran para realizar restablecimientos de contraseña. Forester Research se suma a este hallazgo mediante una investigación que muestra que el costo promedio de mano de obra de la mesa de ayuda para un solo restablecimiento de contraseña puede costar más de $ 70 o más.
Te preguntarás, ¿cómo es esto posible?
Primero, suponga que la organización es consciente de los procesos de seguridad de mejores prácticas (que deberían serlo) antes de que se pueda cambiar una contraseña para un usuario final. En ese caso, se deberá verificar la identidad del usuario que solicita el cambio de contraseña. ¿Por qué es esto? Un atacante puede usar tácticas de ingeniería social para persuadir a la mesa de servicio para que cambie la contraseña de la cuenta de un usuario legítimo. Este escenario entrega al atacante credenciales legítimas, lo que lleva a un compromiso del medio ambiente. El proceso para verificar la identidad del usuario final por medios manuales puede llevar mucho tiempo.
A continuación, es posible que las empresas sigan utilizando sistemas heredados interconectados que requieren cambiar manualmente las contraseñas en varios lugares en lugar de un solo cambio que fluya en todo el entorno sin problemas. El proceso manual requerido por el equipo de soporte técnico para garantizar que la contraseña se cambie correctamente puede requerir mucho trabajo.
Puede requerir que el equipo de soporte técnico inicie sesión y use muchas herramientas diferentes para cambiar una contraseña en múltiples sistemas para una sola cuenta de usuario. Finalmente, el usuario final puede estar «muerto en el agua» esperando en la mesa de servicio de TI para ayudarlo a desbloquear una cuenta de usuario bloqueada o restablecer una contraseña. El tiempo invertido en el que un usuario final está bloqueado y no puede realizar sus tareas laborales en sí mismo dará como resultado procesos comerciales afectados y, en última instancia, le costará a la empresa.
¿Qué herramientas reducen el costo de los bloqueos de cuentas y restablecimientos de contraseñas?
Las organizaciones que buscan reducir el costo de los bloqueos de cuentas y restablecimientos de contraseñas pueden beneficiarse significativamente de las herramientas de autoservicio de restablecimiento de contraseñas (SSPR). Como su nombre lo indica, una solución SSPR permite a los usuarios finales desbloquear su cuenta y restablecer sus contraseñas mediante un flujo de trabajo de autoservicio.
Los usuarios finales deben inscribirse o ser inscritos por los administradores del sistema con anticipación en la solución SSPR para fines de incorporación. El proceso de inscripción dirigido por el usuario permite que el usuario final configure los diversos métodos de identificación de múltiples factores necesarios para verificar su identidad para realizar las acciones de autoservicio. Puede incluir configurar la sincronización con una aplicación de autenticación como Google Authenticator, verificación móvil por mensaje de texto o llamada telefónica u otros medios. Si lo dirige el administrador, esto puede requerir que se llene previamente la información del verificador requerida en los perfiles de Active Directory de los usuarios.
Una vez que el usuario final se inscribe/está inscrito en la solución, puede visitar un portal web para comenzar los flujos de trabajo para desbloquear su cuenta o restablecer su contraseña. Pueden hacer esto sin ninguna participación o intervención del servicio de asistencia de TI. Como puede imaginar, esto puede generar enormes beneficios en términos de descargar el flujo de trabajo de la mesa de servicio y permitir que el usuario final se ocupe de los problemas de su cuenta.
Las soluciones de SSPR son tan buenas como la cantidad de usuarios finales inscritos. Una buena solución SSPR permite a los administradores tener las herramientas necesarias para incorporar a los usuarios mediante programación. Esta capacidad incluye la preinscripción de usuarios, lo que no requiere esfuerzo por parte de los administradores ni de los usuarios finales, ya que el sistema se basaría en los datos del identificador de Active Directory existentes para permitir que los usuarios utilicen métodos de autenticación que se basen en esos datos. Cuando esta opción está presente en las soluciones SSPR, puede aumentar drásticamente la adopción de la solución SSPR en todos los ámbitos.
Reducción de los costos de restablecimiento de contraseña con Specops uReset SSPR
Una solución SSPR efectiva proporciona las herramientas y capacidades necesarias para que las empresas brinden rápidamente a los usuarios finales capacidades de inscripción sencillas y realicen flujos de trabajo de cuentas de autoservicio. Specops uReset es una sólida solución de restablecimiento de contraseña de autoservicio que permite a las empresas eliminar de manera efectiva las llamadas de restablecimiento de contraseña a su servicio de asistencia de TI.
Proporciona las siguientes capacidades:
- Permite a los usuarios restablecer sus contraseñas de Active Directory de forma segura
- Los usuarios pueden usar cualquier dispositivo y pueden restablecer su contraseña desde cualquier lugar
- Cumplimiento de la inscripción
- Los usuarios pueden iniciar el proceso de restablecimiento de contraseña desde un navegador, dispositivo móvil o directamente desde la pantalla de inicio de sesión de Windows
- Permite a las empresas implementar una serie de requisitos de autenticación multifactor que se alinean con las políticas de ciberseguridad empresarial.
- Incluye geobloqueo
- Los administradores tienen acceso a los scripts de PowerShell para incorporar rápidamente a los usuarios en uReset.
Flujo de trabajo de autoservicio Specops uReset
Cuando los usuarios no pueden acceder a su cuenta o han olvidado su contraseña, el portal web de Specops les permite desbloquear su cuenta rápidamente.
 |
| Specops uReset permite desbloquear cuentas y restablecer contraseñas rápidamente |
Se le pide al usuario final que verifique su identidad utilizando el primero de los métodos de verificación multifactor configurados.
 |
| Verificación de código móvil en Specops uReset |
Se solicita al usuario la segunda forma de autenticación multifactor configurada. Si observa a continuación, Specops utiliza un medio para acumular la cantidad requerida de «estrellas» utilizando los mecanismos de autenticación de múltiples factores configurados. A continuación, se necesitan tres estrellas para la verificación. Sin embargo, esto es configurable y puede incluir múltiples métodos de verificación.
 |
| Se necesita una segunda forma de autenticación multifactor para la verificación de identidad |
El usuario final ingresa el código del autenticador de Google.
 |
| Ingresando el código del autenticador de Google |
Specops uReset inscripción obligatoria
Specops proporciona herramientas efectivas para hacer cumplir la inscripción del usuario final en Specops uReset. Una de esas herramientas es el Modo de recordatorio de inscripción. Las organizaciones pueden implementar la inscripción obligatoria usando la opción Iniciar navegador de pantalla completa que no se puede cerrar.
Con una ventana del navegador que no se puede cerrar, los usuarios finales recibirán ayuda o se les pedirá que se inscriban en uReset. Esta configuración se puede «asignar» a todos los usuarios a través de un objeto de directiva de grupo de Active Directory.
 |
| Configuración del modo de recordatorio de inscripción con Specops |
Terminando
Las actividades de desbloqueo de cuentas y restablecimiento de contraseñas son increíblemente costosas para las operaciones de la mesa de ayuda de TI. Según los investigadores, estas actividades pueden sumar más de $ 70 por restablecimiento de contraseña. Las soluciones de autoservicio de restablecimiento de contraseña (SSPR) brindan los medios para permitir que los usuarios finales realicen estas actividades por sí mismos sin la participación de la mesa de servicio.
Specops uReset es una sólida solución SSPR que brinda las herramientas necesarias para que las organizaciones implementen de manera efectiva las capacidades de autoservicio para que los usuarios finales evalúen los bloqueos de sus cuentas y los restablecimientos de contraseñas sin la participación del servicio de asistencia técnica.
Ofrece capacidades sólidas, que incluyen una incorporación fácil, autenticación multifactor configurable, cumplimiento de inscripción, bloqueo geográfico y muchas otras capacidades.
Obtenga más información sobre Specops uReset aquí.
