Блокировка учетной записи
Правило: Прежде чем блокировать учетную запись, убедитесь в том, что запрос на блокирование подан авторизированным лицом.
Аргументация и примечания: Назначение этого правила сводится к противодействию атаке, когда злоумышленник подделывает запрос на блокирование учетной записи пользователя, после чего выступает в роли сотрудника службы поддержки «помогающего» этому пользователю. Доказано, что когда атакующий звонит пользователю под маской техника и предлагает помощь в активизации внезапно потерянных прав доступа, пользователь практически всегда готов раскрыть свой пароль.