Come implementare una politica di modifica della password quando la password centralizzata dell'utente si trova in molti punti?

5

Vorrei implementare la modifica della password in un'organizzazione ma hanno le password del controller di dominio / LDAP "dappertutto". Hanno le password in molti posti, ad esempio nelle app mobili che si autenticano con LDAP, client VPN, ecc.

Come implementare una politica di modifica della password in questo ambiente? L'organizzazione dovrebbe prima lavorare sulla riduzione o sull'elaborazione di un inventario di dove hanno introdotto la password?

Cosa succede se non tutte le password possono essere modificate da remoto? Ad esempio, l'organizzazione ha la password nelle app mobili e potrebbe non essere possibile accedere da remoto a tutti i 5000 dispositivi mobili in questa organizzazione e cambiare la password. Gli utenti potrebbero non essere pronti a cambiare da soli le password ...

Esiste una famiglia di soluzioni o soluzioni UNIX / Windows specifiche per risolvere questo problema?

    
posta Eloy Roldán Paredes 08.01.2016 - 09:25
fonte

1 risposta

2

Dai commenti, sembra che la domanda principale sia, e si prega di commentare se ho torto qui: "Abbiamo un provider di autenticazione centralizzato (LDAP) e più applicazioni che gli utenti finali si autenticano in questo modo. di fare in modo che se l'utente cambia la propria password su una di queste applicazioni, la modifica può essere applicata automaticamente ad altre applicazioni, senza che l'utente debba aggiornare ciascuna applicazione individualmente? "

In questo caso, in modo che gli utenti possano cambiare la propria password, ad esempio, in Outlook, e si aggiorna automaticamente sul proprio telefono cellulare, esistono alcuni metodi per farlo, in genere con una password equivalente, ad esempio un token di verifica. Tuttavia, in genere è una pessima idea.

Immagina una situazione in cui il cellulare di un utente è stato rubato. Il ladro ha attualmente accesso alle loro e-mail e a qualsiasi e-mail che arriva mentre la stessa sessione è attiva. Data una reimpostazione della password che richiede l'immissione della password aggiornata, è facile interrompere l'accesso a nuove e-mail: si modifica la password sul server e il telefono non può più connettersi. Nel tuo sistema teorico, la modifica della password sul server non impediva al telefono di connettersi: la password si aggiornava automaticamente.

Potrebbe essere meglio considerare l'utilizzo delle funzionalità esistenti nei dispositivi per ridurre al minimo il numero di modifiche che un utente dovrà eseguire. Ad esempio, i dispositivi Android consentono "account" che possono essere utilizzati da più applicazioni, il che significa che se una password di Google viene aggiornata, deve essere immessa sul telefono una sola volta, invece di una volta per ogni applicazione mobile. Outlook può essere configurato per consentire l'accesso utilizzando l'accesso al dominio, in modo che un utente che accede a Windows sia automaticamente connesso al server Exchange. In ognuno di questi, la password deve essere inserita se viene cambiata, ma solo una volta per dispositivo.

    
risposta data 11.01.2016 - 13:03
fonte