¿Cuáles son las mejores prácticas para permitir que los empleados usen una aplicación web, pero en realidad nunca conocen la contraseña?

3

Es decir, ¿es posible con una herramienta de inicio de sesión único para que el empleado "Joe Smith" tenga acceso a la aplicación "SocialMedia App1" para que haga este trabajo? Pero cuando Joe abandona la empresa, ¿puedo tener plena confianza de que no tiene la contraseña y no es necesario cambiarla?

    
pregunta Andrew Arrow 02.10.2015 - 15:39
fuente

4 respuestas

5

En general, cuando un usuario se marcha, nunca puede tener plena confianza en que no tiene contraseñas u otra información confidencial guardada. Como resultado, su proceso de contratación externa debe tener controles para todas las contingencias.

Hay varios sistemas (por ejemplo, el propietario de OneLogin) que le permiten integrar un servicio de gestión de identidad corporativa (por ejemplo, Active Directory) con inicio de sesión en sitios de redes sociales / otras aplicaciones web. Sin embargo, esto funciona de manera similar a LastPass en que almacena una contraseña generada aleatoriamente en una bóveda; y esta contraseña puede ser interceptada.

El problema es que siempre es técnicamente posible, si el usuario es un administrador de la computadora y tiene acceso a algunos expertos técnicos, para obtener la contraseña.

Hay formas de mitigar esto: por ejemplo, habilitar las notificaciones de inicio de sesión en Facebook y la autenticación de dos factores. Solo configure un teléfono no rooteado con el token 2FA correcto. Aún así, el usuario puede tomar medidas para migrar el token 2FA a otro dispositivo, por lo que no puede estar 100% seguro de que este sistema funcionará.

Al final, la mejor práctica siempre será restablecer las contraseñas de todas y todas las cuentas a las que el ex empleado tuvo acceso. Si la aplicación está integrada directamente con un servicio de directorio, puede estar seguro de que cuando se deshabilita la cuenta del directorio, se le niega el acceso (por ejemplo, Google+ usando OAuth), pero si hay inicios de sesión separados en sitios externos, siempre habrá que cambiarlos. Incluso si está 99% seguro de que no tienen la contraseña o de que no van a iniciar sesión, la excepción del 1% es sin duda la motivación suficiente para bloquear las cosas.

    
respondido por el Herringbone Cat 02.10.2015 - 20:11
fuente
2

Si tiene un proceso de administración de usuarios correcto (que incluye la revocación del acceso a una base de datos de autenticación centralizada al momento de la licencia), usar un SSO para su "SocialMedia App1" que está vinculado a ese mecanismo de autenticación centralizado garantizará que no lo hará. capaz de conectarse a ese servicio una vez que su cuenta está deshabilitada.

También puede autenticar directamente "SocialMedia App1" contra este servicio (aunque supongo que no está bajo su control y ofrece SSO)

    
respondido por el WoJ 02.10.2015 - 17:19
fuente
2

La gestión de las identidades compartidas (como la cuenta de empresa en Facebook, Twitter) normalmente estaría en el ámbito de Procesos de administración de identidad privilegiada . Debido a la naturaleza compartida de esta identidad, el proceso regular de administración de usuarios no es aplicable y se deben considerar procesos / escenarios adicionales.

Los procesos de administración de identidad con privilegios tienen controles y balances adicionales para garantizar que nadie, además de la persona que trabaja en el sistema, conozca la contraseña correspondiente. Por lo general, esto implica que la persona autorizada "compruebe" la contraseña, realice el trabajo que necesita hacer y luego "registre" la contraseña.

Si esto parece una exageración desde el punto de vista de sus requisitos, sugeriría que

  1. Identifique el facebook (o la cuenta compartida correspondiente) como una cuenta de servicio para que no se elimine y la propiedad se transfiera al nuevo propietario apropiado automáticamente como parte del proceso de integración.
  2. Como parte del proceso de transferencia de propiedad, puede cambiar la contraseña y actualizar al nuevo propietario sobre la contraseña.
respondido por el jhash 03.10.2015 - 18:52
fuente
-2

Una opción es usar LastPass con carpetas compartidas. Creo que esta característica requiere una licencia de empresa.

enlace

Digamos que usted, como administrador, crea la carpeta compartida y la comparte con Joe Smith, luego en la configuración, puede elegir ocultar las contraseñas de la carpeta compartida a Joe.

LastPass tiene complementos de navegador para todos los navegadores principales, por lo que cuando Joe abre "SocialMedia App1", el nombre de usuario y la contraseña se completan automáticamente para Joe (el complemento de LastPass también puede iniciar sesión automáticamente si la configuración es correcta). En todo el proceso Joe nunca ve la contraseña.

(Esta es solo una forma de hacerlo)

    
respondido por el JOW 02.10.2015 - 17:48
fuente

Lea otras preguntas en las etiquetas