Il servizio Outlook sta memorizzando la password decifrata nella memoria del server: quanto è insicuro?

1

Sto valutando la possibilità di utilizzare il client mobile di Outlook con un server Exchange 2013 locale. Tuttavia sembra che l'app invii un bel po 'di dati ai cloud server di Microsoft. Memorizza anche le password decifrate degli utenti nella memoria del cloud server. Dall'articolo TechNet :

After the Outlook service has decrypted the password at runtime, the service can then connect to the Exchange server to synchronize mail, calendar, and other mailbox data. As long as the user continues to open and use Outlook periodically, the Outlook cservice [sic] will keep a copy of the user's decrypted password in memory to keep the connection to the Exchange server active.

Questo pezzetto mi preoccupa in particolare, ma non sono sicuro del perché. Qualcuno può spiegare se questo è un grosso rischio per la sicurezza? Il design di Microsoft è accettabile, o abbastanza brutto da abbandonare l'idea di utilizzare Outlook per dispositivi mobili? Quali fattori dovrei prendere in considerazione?

    
posta phs 18.05.2018 - 23:23
fonte

1 risposta

1

Credo che sia abbastanza normale tenere segreti nella memoria. Perché è generalmente meglio non memorizzare le password da sé, ma piuttosto usare token / chiavi, non è male IMO. L'app deve comunque memorizzare qualche tipo di token / chiave di autenticazione, quindi non utilizzando la password, l'unico vantaggio sarebbe che un utente malintenzionato in grado di ottenere tale chiave / token perderà l'accesso dopo che la chiave / token è stata modificata (l'utente si è disconnesso) . Perché sarebbero ancora in grado di accedere alla posta corrente e vecchia almeno fino a quando non si disconnettesse / dovessero digitare nuovamente la password, questo sarebbe di conforto.

    
risposta data 19.05.2018 - 00:12
fonte

Leggi altre domande sui tag