Usando LDAP para la autenticación de la aplicación

2

Algunos de mis colegas quieren deshacerse de nuestra autenticación de aplicación interna actual, y usar LDAPS para manejar toda la autenticación (almacenar contraseñas, etc.) en su lugar. No estoy de acuerdo y digo que deberíamos estar construyendo un modelo de autenticación fuerte utilizando hashing y salado como así , y autentíquese dentro de la propia aplicación .

Quieren que la aplicación pase todo a LDAPS porque significa menos mantenimiento; por lo que Microsoft (o cualquier servicio LDAP) es responsable de mantener todo el hashing, etc. actualizado hasta el final.

Aparte del problema de necesitar un servidor LDAPS seguro (que digo que es un problema en sí mismo), ¿existe algún riesgo de seguridad en una ruta donde la aplicación obliga a LDAP a manejar la autenticación?

    
pregunta 06.12.2016 - 10:46
fuente

1 respuesta

1

Hay siempre riesgos. La verdadera pregunta es qué enfoque da riesgos que son más aceptables para su situación.

El uso de LDAP para esto es una solución probada y confiable que se usa bien y está bien soportada. Así que eso es un positivo definido. Su autenticación a medida está potencialmente mal probada y, bueno, ¡a medida! ¿Cómo se prueban los riesgos asociados a ello? Eso podría ser incognoscible sin gastar dinero en probarlo profesionalmente.

¡Sin embargo, diría que hay LDAP y luego LDAP! Si realmente quieren decir que utilizaría Active Directory junto con las herramientas estándar de Microsoft para la autenticación y la autorización, eso tiene mucho más sentido que si solo dijeran "solo usemos LDAPS".

Vanilla LDAPS puede no ser mejor que su solución actual. Pero aún podría tener ventajas si la solución actual tiene un soporte y mantenimiento mínimos.

La conclusión es que las soluciones listas para usar, especialmente cuando se usan estándares de la industria bien probados, casi siempre son mejores que las personalizadas para tareas estándar. Y es probable que sean mejor soportados y probados. Pero es probable que agregar un conjunto de herramientas especializadas sea incluso mejor. Utilice estándares abiertos siempre que sea posible, ya que facilita mucho la integración y el mantenimiento. Entonces, usando OAuth, por ejemplo.

Por cierto, los LDAP no son difíciles de configurar. Active Directory puede ser difícil si todavía no tiene una infraestructura de Windows. Si ya está utilizando AD en el mismo entorno que su aplicación y los usuarios, es un poco obvio.

Evalúe los riesgos, impactos y beneficios de cada uno sin la emoción de los territorios protegidos. Esto debería ser una evaluación de riesgos documentada, probablemente con una matriz de beneficios.

    
respondido por el Julian Knight 07.12.2016 - 01:03
fuente

Lea otras preguntas en las etiquetas