Utilizzo di LDAP per l'autenticazione dell'applicazione

2

Alcuni dei miei colleghi vogliono sbarazzarsi della nostra attuale autenticazione per applicazioni interne e utilizzare LDAPS per gestire tutta l'autenticazione (memorizzazione di password ecc.). Non sono d'accordo e dico che dovremmo costruire un modello di autenticazione strong usando hashing e salting come so e autenticarci all'interno della stessa app .

Vogliono che l'applicazione passi tutto su LDAPS perché significa meno manutenzione; quindi Microsoft (o qualsiasi altro servizio LDAP) è responsabile di mantenere aggiornato l'hashing, ecc.

A parte il problema di avere bisogno di un server LDAPS sicuro (che io dico sia un problema di per sé), ci sono dei rischi per la sicurezza lungo una rotta in cui l'applicazione impone a LDAP di gestire l'autenticazione?

    
posta 06.12.2016 - 10:46
fonte

1 risposta

1

Ci sono dei rischi sempre . La vera domanda è quale approccio comporta rischi più accettabili per la tua situazione.

L'uso di LDAP per questo è una soluzione collaudata, ben utilizzata e ben supportata. Quindi questo è un positivo definito. La tua autenticità su misura è potenzialmente poco collaudata e, beh, su misura! Come provi i rischi associati? Questo potrebbe essere inconoscibile senza spendere soldi per ottenerlo testato professionalmente.

Direi che c'è LDAP e poi c'è LDAP! Se in realtà significano che useresti Active Directory insieme agli strumenti standard di Microsoft per l'autenticazione e l'autorizzazione, questo rende tutto un senso più completo che se si limitasse a dire "usiamo solo LDAPS".

Vanilla LDAPS potrebbe non essere migliore della tua attuale soluzione. Ma potrebbe ancora avere vantaggi se la soluzione attuale ha un supporto e una manutenzione minimi.

La linea di fondo è che le soluzioni standard, specialmente quando si usano standard industriali ben collaudati, sono quasi sempre migliori di quelle su misura per le attività standard. E probabilmente saranno supportati e testati meglio. Ma aggiungere un set di strumenti specialistici è probabilmente ancora migliore. Utilizzare gli standard aperti laddove possibile, poiché rende l'integrazione e la manutenzione molto più semplici. Ad esempio, utilizzando OAuth.

Per inciso, l'LDAP non è difficile da configurare. Active Directory può essere difficile se non si dispone già di un'infrastruttura di Windows. Se stai già utilizzando AD nello stesso ambiente dell'applicazione e degli utenti, è un gioco da ragazzi.

Valuta i rischi, gli impatti e i benefici di ciascuno senza l'emozione dei territori protetti. Questa dovrebbe essere una valutazione del rischio documentata, probabilmente con una matrice di benefici.

    
risposta data 07.12.2016 - 01:03
fonte

Leggi altre domande sui tag