Supponiamo che tu lavori per LargeCorp, hai un accesso LDAP per accedere al tuo desktop, accedere a varie applicazioni interne, ecc.
È conveniente perché non devi gestire autonomamente l'autenticazione per ogni applicazione che usi; questo è conveniente per entrambi - non è necessario ricordare dieci diverse password e per gli sviluppatori, che non hanno bisogno di implementare la propria autenticazione.
Il problema è - diciamo che qualcuno mi indica un'applicazione che richiede il mio nome utente e password LDAP - come posso essere sicuro che questo non sia un tentativo di phishing da parte di qualcuno all'interno dell'organizzazione? Dopotutto, si tratta di una grande coroperation, non mi posso fidare che gli sviluppatori non siano incompetenti / malevoli.
L'esempio plausibile che riesco a pensare è che un dipendente scontento manda al suo manager un link a un'applicazione interna: "Ehi capo, dai un'occhiata a questo nuovo strumento che abbiamo creato". Boss accede con le sue credenziali LDAP e il dipendente scontento ora usa le credenziali del capo per leggere le email del suo capo.
Out in the wild - ti consigliamo di utilizzare una password diversa per ogni sito web che utilizzi, quindi (supponendo che abbia una password perfettamente casuale) non ci sarebbero rischi per gli altri miei accessi accedendo a questo sito. Ma con LDAP devo usare la stessa password.
Quale principio di sicurezza esiste che giustifica la centralizzazione LDAP?