Искусство обмана


Сброс пароля


Правило: Пароль учетной записи пользователя может быть изменен или сброшен только по запросу держателя учетной записи.

Аргументация и примечания: Задача социоинженера нередко сводится к изменению или сбросу пароля пользователя. При этом злоумышленник представляет себя в качестве легитимного пользователя и просит администратора изменить пароль, который он вдруг «забыл». Именно поэтому служащие, получающие запрос на изменение пароля пользователя, должны обязательно перезвонить пользователю по местному телефону. Причем звонок должен производиться не по номеру, предоставленному инициатору запроса, а по номеру из телефонного справочника компании. Более подробная информация касательно этой процедуры изложена в разделе «Процедуры авторизации и удостоверения».



Содержание раздела