Permitiendo que el usuario acceda a un sitio web protegido por contraseña sin revelar la contraseña

Navega tus respuestas
3

Un amigo mío tiene el siguiente problema. Ella es contadora y sus clientes con frecuencia le dan sus credenciales de inicio de sesión para que pueda descargar sus datos contables de los sitios web de varias instituciones financieras. También tiene un empleado de medio tiempo que la ayuda con algunas tareas de rutina. Mi amigo quiere que su empleado pueda descargar los datos de los clientes sin tener que revelar las credenciales de inicio de sesión de sus clientes.

No a diferencia de la mayoría de los comentaristas a continuación, también preferiría que todos los habitantes del planeta tengan sus propias cuentas únicas para todo y nunca compartan. Desafortunadamente, ese no es el caso. Así que concéntrate en la tarea en cuestión.

Estoy buscando una manera de configurar un servidor proxy local para que autorice automáticamente la sesión del navegador del usuario en el sitio web remoto con credenciales predefinidas.

Necesito que la base de datos de credenciales se almacene en un servidor en la red local (no en la nube y no en una PC de usuario), por lo que las soluciones como varios complementos del navegador no funcionarán. La configuración debe admitir varias cuentas en el mismo sitio web.

    
pregunta Alex P. 18.06.2013 - 23:30
fuente

2 respuestas

2

Bueno, el problema comenzó cuando los clientes de su amiga le dieron sus credenciales en lugar de crear una nueva cuenta en sus portales para ella ... Eso es malo.

Dejando eso de lado, hay una manera de que el empleado entre sin revelar la contraseña. Puedes usar esta extensión de chrome:

enlace

y transfiera la cookie de autenticación desde la computadora conectada a la computadora del otro empleado.

Todo esto es realmente incompleto y escamoso. Incompleto porque está rompiendo muchas de las mejores prácticas de seguridad y escandaloso porque se está configurando para fallar.

Conclusión: debe poder confiar en sus empleados. Tal vez pueda conseguir que el empleado firme algún papeleo para que sea posible procesar al empleado, en caso de que intente usar el acceso para causar daños.

    
respondido por el John 19.06.2013 - 04:01
fuente
0

Hay muchas razones para no hacer esto, sino para obtener los datos del cliente a través de medios más seguros. Dejando eso a un lado y abordando la pregunta formulada:

PODRÍA usar el complemento del navegador LastPass, que lo registra automáticamente en un sitio web, y espera que el empleado a tiempo parcial no se registre en la base de datos de LastPass para obtener la contraseña del cliente de texto simple. Básicamente, ese enfoque hace lo que usted describe, de forma gratuita y sin tecnología adicional.

    
respondido por el schroeder 18.06.2013 - 23:48
fuente

Lea otras preguntas en las etiquetas

¿Cómo administrar las contraseñas en un entorno de varios inquilinos? ¿Cómo evitar que CAS filtre la identidad del usuario a sitios web visitados arbitrariamente?