Stesso utente, diversi punti di accesso, password diverse?

Naviga le tue risposte
3

Abbiamo un sistema (ad esempio acquisti) in cui sono presenti più punti di accesso. Una è un'applicazione desktop back-end accessibile solo dai dipendenti all'interno della LAN, l'altra è un'applicazione Web accessibile a Internet da parte di un gruppo di dipendenti e clienti. Entrambi richiedono l'autenticazione con un nome utente e una password.

L'applicazione Web richiede una politica di password più rigida rispetto all'applicazione back-end, tuttavia vogliamo consentire ai Dipendenti di accedere ad entrambi con almeno lo stesso Nome utente (al momento dell'accesso come utente diverso).

Dovremmo chiedere ai dipendenti di utilizzare password diverse quando si effettua l'accesso tramite l'applicazione Web? O dovremmo usare la stessa password ma richiedere la politica della password più rigida per il sottoinsieme di dipendenti per l'applicazione di back-end?

    
posta Nick Brooks 13.10.2011 - 00:03
fonte

3 risposte

2

Perché hai una politica sulle password in primo luogo? È per evitare le password che sono "troppo deboli" (nel senso di: "troppo facilmente indovinato"). Le password deboli cessano improvvisamente di avere importanza sul sito Web solo perché lo stesso nome utente + password anche fornisce l'accesso all'applicazione back-end?

Se la politica della password sul sito Web ha un senso, deve applicarsi a tutte le password che funzionano sul sito Web.

D'altra parte, una politica più rigida per il back-end che per il sito Web può avere senso: le password che concedono l'accesso ad entrambe sono, tecnicamente, "più potenti" password, quindi è concepibile che dovrebbero essere "più forti". Ma questo è un argomento che agita la mano.

Il mio consiglio è il seguente: se l'applicazione Web e l'applicazione di back-end concedono l'accesso agli stessi dati, le politiche delle password dovrebbero essere identiche per entrambi. Ad esempio, applicare le regole più severe ovunque. Se riesci a costringere i clienti a seguire queste regole, sicuramente puoi fare lo stesso con i dipendenti?

    
risposta data 13.10.2011 - 00:37
fonte
1

Forse hai bisogno dell'autenticazione a due fattori in scenari che richiedono una convalida più strong in scenari "rischiosi" come VPN e web.

RSA, Arcot e Symantec sono alcuni che vengono in mente che offrono il doppio fattore

    
risposta data 16.05.2012 - 14:23
fonte
0

Stai usando un sistema di autenticazione? O devi creare account su ciascun sistema per gli utenti?

Se si dispone di un sistema di autenticazione, richiedere a tutti di registrarsi dall'applicazione Web (criterio severo) e disattivare la funzionalità di configurazione / modifica della password sul back-end. La politica della password viene applicata al momento della creazione / modifica, pertanto è necessario che ONE inserisca le proprie password in modo che vengano create e modificate.

    
risposta data 13.10.2011 - 18:04
fonte

Leggi altre domande sui tag

Quale amministratore di dominio ha creato il file X su un server Windows 2008 R2? Se aggiungo due account alla stessa app 2FA, questi sono collegati da un punto di vista della privacy?