A medida que las organizaciones trabajan para garantizar la productividad de la fuerza de trabajo remota, inevitablemente aparecerá el problema de las credenciales en caché, lo que causará un problema para el usuario afectado y el servicio de atención al cliente de TI.
No es ningún secreto que una parte material de casi todos los trabajadores está funcionando de forma remota. En los últimos meses, se ha esforzado por establecer conectividad remota, productividad basada en la nube y algún tipo de seguridad integral, todo para permitir que sus empleados remotos realicen su trabajo al tiempo que cumplen con los requisitos de gobierno corporativo en torno a la seguridad y el cumplimiento en la mayor medida posible. Pero con aproximadamente el 40% de la fuerza de trabajo remota que usa dispositivos corporativos mientras trabaja desde casa, hay un problema que puede estar a la vuelta de la esquina y que probablemente esté a punto de convertirse en un problema que involucrará a ese subconjunto de toda la fuerza de trabajo remota: credenciales almacenadas en caché local que expiran.
Para aquellos de ustedes que son nuevos en TI y no están familiarizados con las credenciales almacenadas en caché local, aquí está la breve introducción: Debido a que el usuario es remoto, no puede conectarse fácilmente (si es que lo hace) a un controlador de dominio (DC) en la red corporativa. Por lo tanto, Windows mantiene una copia de las credenciales del usuario en caché en el dispositivo local y el usuario puede iniciar sesión libremente de forma local mientras está remoto sin necesidad de conectarse a la red corporativa. A pesar de que Microsoft elimina el requisito de requerir a los usuarios que cambien las contraseñas con frecuencia, todavía hay escenarios en los que las contraseñas deben restablecerse:
- La política antigua permanece en su lugar y una contraseña expira
- Se sospecha que la credencial del usuario ha sido comprometida por una amenaza interna o un ciberataque y debe restablecerse administrativamente
- La contraseña establecida actualmente utiliza una contraseña comprometida/filtrada y se restablece administrativamente
- El usuario olvida su contraseña (como en, ha estado almacenada en caché durante tanto tiempo, ni siquiera sabe lo que es)
El problema a mano es cuando la contraseña necesita ser restablecida en el lado de Active Directory de la ecuación, ¿cómo actualizar el credenciales en caché local? El usuario afectado debe estar conectado a la red corporativa (específicamente, a un Controlador de dominio (DC)) para tener un conjunto de caché de credenciales recién establecido localmente. Ahora, algunos de ustedes ya están por delante de mí pensando: «mis usuarios usan una VPN y, por lo tanto, están lógicamente en la red, así que estamos bien.»Pero según un estudio reciente de Proofpoint, solo el 39% de los usuarios tienen una VPN instalada y solo el 47% de esas personas la usan de manera consistente. Además, muchas conexiones VPN al DC se establecen después del inicio de sesión, por lo que no todos los escenarios potenciales que puedan surgir se resolverán sin soporte de TI.
En resumen, con el tiempo, el problema de las credenciales almacenadas en caché local se pondrá al día con usted.
Entonces, ¿cuáles son sus opciones para actualizar credenciales caducadas y cuáles son las ramificaciones de seguridad para cada una?
En primer lugar, debido a que el problema que estamos resolviendo es que el dispositivo de punto final remoto necesita actualizar las credenciales almacenadas en caché, el proceso subyacente es en gran medida el mismo: El dispositivo debe estar conectado lógicamente a la red corporativa (de nuevo, específicamente con acceso a un DC) a través de VPN, y deberá (suponiendo que esté ejecutando Windows 10) presionar Ctrl-Alt-Supr y elegir Cambiar una contraseña.
Al ver este proceso en la aplicación práctica, hay algunos escenarios a considerar en torno a la actualización de credenciales en caché local y cómo afecta cada una a la seguridad corporativa y a la TI.
1. Contraseña conocida, No caducada, Capaz de conectarse: este es el estándar de oro de los posibles escenarios. El usuario experto en tecnología simplemente se conecta a la VPN, cambia su contraseña y sigue su día. Puro nirvana.
2. Contraseña conocida, caducada, No se puede conectar – sin soluciones de restablecimiento de contraseñas de terceros, la VPN es un requisito aquí. El servicio de asistencia va a estar involucrado para ayudar a facilitar al menos la» conexión a la red corporativa», restableciendo manualmente su contraseña a la existente como una solución potencial y haciendo que la cambien de inmediato, lo que puede implicar ayudar a encontrar las claves necesarias para cambiar una contraseña.
3. Contraseña desconocida: Dejando de lado el problema de conectividad, aquí es donde comienza el verdadero riesgo de seguridad. Cuando los usuarios no saben cuál es su contraseña para empezar, obviamente requiere un restablecimiento inicial por parte del servicio de asistencia, y luego un cambio de contraseña al iniciar sesión, al igual que en el escenario anterior. El riesgo de seguridad viene en la forma de identificar al usuario como el propietario de la credencial antes de entregar la contraseña de restablecimiento. Al menos en el primer escenario, conocían la contraseña antigua, aunque no es un método de verificación muy seguro, es un comienzo. Entonces, en este caso, sin alguna forma de un segundo factor de autenticación que vaya más allá, «¿quién es este?»o» ¿cuál es su identificación de empleado?»es muy arriesgado.
4. Restablecimiento forzado: en los casos en que obliga a un restablecimiento de la credencial de un usuario (de nuevo, debido a problemas como sospechar que se ha visto comprometida por un ciberataque), el acto de trabajar con el usuario para comunicar una nueva contraseña de restablecimiento debe implicar alguna forma muy específica y segura de validar al propietario de la credencial antes de entregar la contraseña de restablecimiento.
Actualización correcta de credenciales en caché
El problema aquí es de dos puntas, las credenciales en caché en última instancia llevarán a un aumento en las llamadas de soporte de TI y a la pérdida de productividad, sin embargo, hay un problema de seguridad aquí. La transferencia entre el usuario que afirma ser el propietario de la credencial y el agente de service desk que necesita entregar una contraseña temporal para facilitar la actualización de la credencial puede dejar a una organización expuesta a ataques.
Los usuarios de su organización tienen diferentes niveles de acceso y, por lo tanto, riesgos inherentes. Por lo tanto, agregue a la mezcla que aquellos con niveles elevados de acceso a información sensible, propietaria y valiosa necesitan mucha más validación que cualquiera de los métodos simplistas que a menudo se utilizan en el servicio de atención al cliente de TI.
Actualizar las credenciales en caché local es un problema de seguridad. Y la mejor seguridad es la que el usuario no conoce. Además, la mejor solución es la que no necesita involucrarse. Es obvio, a partir de los escenarios anteriores, que el escenario que involucra a un usuario proactivo y experto en tecnología cumple con los criterios. Pero esa no es la realidad la mayor parte del tiempo. Por lo tanto, puede ser necesario buscar una solución de autoservicio de contraseñas de terceros que se integre con el proceso de inicio de sesión de Windows para ayudar a simplificar las tres incógnitas que he mencionado en este artículo: la destreza técnica del usuario, su capacidad para conectarse a la red corporativa y su capacidad para validar que la persona que solicita un restablecimiento de contraseña es, de hecho, el propietario de la credencial.
Sin ninguna solución de terceros, la respuesta es simple: VPN, cambiar la contraseña. Cuando eso no es factible en general, le recomiendo que busque una solución que satisfaga a su fuerza de trabajo remota donde se encuentre mientras ayuda a mantener la productividad y la seguridad corporativa.