Dimentica Kerberos, è troppo laborioso / costoso da implementare. Il poster di questa domanda ha avuto un valido "momento eureka". Ma, sembra dimenticare che mentre le password non sono più memorizzate nella cache del suo scenario, possono comunque essere annusate e catturate sul filo.
Tuttavia, il principio principale dell'osservazione del poster (ad esempio, eliminare i collegamenti deboli e ridurre i vettori per l'attacco tramite l'archiviazione di credenziali su un server di identità centrale) rimane valido. Ho notato che questo stesso principio si è già tradotto in app e webware basati su cloud con aziende che offrono servizi Single Sign On (ovvero, memorizzando le credenziali su un server cloud centrale e sicuro per semplificare l'accesso e promuovere l'uso di password più complesse e diversificate) . Questi servizi si traducono in gestione delle identità ... molto più della semplice gestione delle password.
Il recente hack della Sony Playstation Network ha rivelato che anche gli utenti "esperti di tecnologia" e "attenti alla sicurezza" stanno riutilizzando la stessa password attraverso il numero sempre crescente di account online. Certo che erano ... e probabilmente lo sono ancora! Quante password può ricordare una persona? Solo un servizio Single Sign-On che può collegarsi ad Active Directory può avvicinarsi a una soluzione totale.
Qualcuno si imbatte in un'offerta di servizi come questa? Sono una beta-testing di una soluzione ora su www.smartsignin.com La crittografia implementata non utilizza una singola chiave "intera" sul proprio server di identità cloud in grado di decrittografare le credenziali memorizzate. Invece la chiave è divisa tra il server e il sistema dell'utente. L'utente controlla quindi la decrittazione in tempo reale dal proprio browser per ogni account a cui accede dal proprio nuovo profilo di identità centralizzato. Molto carino, penso. Hanno anche l'autenticazione a più fattori per impedire che le sessioni vengano hi-jacked. Dai un'occhiata e fammi sapere cosa ne pensi.