Mismo usuario, diferentes puntos de acceso, diferentes contraseñas?

3

Tenemos un sistema (por ejemplo, compras) donde hay múltiples puntos de acceso. Una es una aplicación de escritorio back-end a la que solo pueden acceder los empleados dentro de la LAN, la otra es una aplicación web accesible a través de Internet por parte de un subconjunto de empleados y clientes. Ambos requieren autenticación con un nombre de usuario y contraseña.

La aplicación web requiere una política de contraseña más estricta que la aplicación back-end, sin embargo, queremos permitir que los empleados accedan a ambos con al menos el mismo nombre de usuario (en el momento en que inician sesión como un usuario diferente).

¿Deberíamos exigir a los empleados que usen una contraseña diferente al iniciar sesión a través de la aplicación web? ¿O deberíamos usar la misma contraseña pero también exigir una política de contraseña más estricta para el subconjunto de empleados para la aplicación de back-end?

    
pregunta Nick Brooks 13.10.2011 - 00:03
fuente

3 respuestas

2

¿Por qué tienes una política de contraseña en primer lugar? Es para evitar las contraseñas que son "demasiado débiles" (en el sentido de: "demasiado fácil de adivinar"). ¿De repente las contraseñas débiles dejan de importar en el sitio web solo porque el very same username + password también brinda acceso a la aplicación de back-end?

Si la política de contraseña en el sitio web tiene algún sentido, debe aplicarse a todas las contraseñas que funcionan en el sitio web.

Por otra parte, una política más estricta para el back-end que para el sitio web puede tener sentido: las contraseñas que otorgan acceso a ambas son, técnicamente, contraseñas "más potentes", por lo que Es concebible que sean más "fuertes". Pero eso es un argumento que agita la mano.

Mi consejo es el siguiente: si la aplicación web y la aplicación de fondo otorgan acceso a los mismos datos, las políticas de contraseña deben ser idénticas para ambos. Es decir, hacer cumplir las reglas más estrictas en todas partes. Si puede obligar a los clientes a seguir estas reglas, entonces seguramente puede hacer lo mismo con los empleados.

    
respondido por el Thomas Pornin 13.10.2011 - 00:37
fuente
1

Quizás necesite autenticación de dos factores en escenarios que requieren una validación más sólida en escenarios "arriesgados" como VPN y web.

RSA, Arcot y Symantec son algunos que vienen a la mente y ofrecen un factor dual

    
respondido por el random65537 16.05.2012 - 14:23
fuente
0

¿Está utilizando un sistema de autenticación? ¿O tienes que crear cuentas en cada sistema para los usuarios?

Si tiene un sistema de autenticación, solicite a todos que se registren desde la aplicación web (política estricta) y desactive la función de configuración / cambio de contraseña en el back-end. La política de contraseña se aplica en el momento de crear / cambiar, por lo que debe haber UNO donde se crean y cambian sus contraseñas.

    
respondido por el rox0r 13.10.2011 - 18:04
fuente

Lea otras preguntas en las etiquetas