¿Cómo implementar una política de cambio de contraseña cuando la contraseña centralizada del usuario está en muchos lugares?

5

Me gustaría implementar el cambio de contraseña en una organización pero tienen las contraseñas de controlador de dominio / LDAP "por todas partes". Tienen las contraseñas en muchos lugares, por ejemplo, en aplicaciones móviles que se autentican contra LDAP, clientes VPN, etc.

¿Cómo implementar una política de cambio de contraseña en este entorno? ¿Debería la organización trabajar primero en reducir o elaborar un inventario de dónde se introdujo la contraseña?

¿Qué sucede si no se pueden cambiar todas las contraseñas de forma remota? Por ejemplo, la organización tiene la contraseña en las aplicaciones móviles y puede que no sea posible acceder de forma remota a los 5000 dispositivos móviles de esta organización y cambiar la contraseña. Es posible que los usuarios no estén preparados para cambiar por sí mismos las contraseñas ...

¿Existe alguna familia de soluciones o soluciones UNIX / Windows específicas para solucionar este problema?

    
pregunta Eloy Roldán Paredes 08.01.2016 - 09:25
fuente

1 respuesta

2

A partir de los comentarios, parece que la pregunta central es, y por favor haga un comentario si me equivoco aquí: "Tenemos un proveedor de autenticación centralizado (LDAP) y varias aplicaciones que los usuarios finales se autentican contra esto. ¿Hay alguna manera? de hacerlo de manera que si el usuario cambia su contraseña en una de estas aplicaciones, el cambio se pueda aplicar automáticamente a otras aplicaciones, sin que el usuario tenga que actualizar cada aplicación de forma individual? "

Si ese es el caso, para que los usuarios puedan cambiar su contraseña en Outlook, por ejemplo, y se actualice automáticamente en su teléfono móvil, existen algunos métodos posibles para hacerlo, que generalmente incluyen una contraseña equivalente, como una ficha de verificación. Sin embargo, generalmente es una muy mala idea.

Imagina una situación en la que el teléfono móvil de un usuario ha sido robado. El ladrón actualmente tiene acceso a su correo electrónico, y a cualquier correo electrónico que llegue mientras la misma sesión esté activa. Dado un restablecimiento de la contraseña que requiere que se ingrese la contraseña actualizada, es fácil cerrar su acceso al nuevo correo electrónico: usted cambia la contraseña en el servidor y el teléfono ya no puede conectarse. En su sistema teórico, cambiar la contraseña en el servidor no detendría la conexión del teléfono, la contraseña se actualizaría automáticamente.

Puede que sea mejor considerar la utilización de la funcionalidad existente en los dispositivos para minimizar la cantidad de cambios que tendrá que realizar un usuario. Por ejemplo, los dispositivos Android permiten "cuentas" que pueden ser utilizadas por múltiples aplicaciones, lo que significa que si se actualiza una contraseña de Google, solo se debe ingresar en el teléfono una vez, en lugar de una vez por aplicación móvil. Outlook se puede configurar para permitir el inicio de sesión mediante el inicio de sesión de dominio, de modo que un usuario que inicie sesión en Windows se conecte automáticamente al servidor de Exchange. En cada uno de estos, la contraseña debe ingresarse si se cambia, pero solo una vez por dispositivo.

    
respondido por el Matthew 11.01.2016 - 13:03
fuente

Lea otras preguntas en las etiquetas