El servicio de Outlook está almacenando una contraseña desencriptada en la memoria del servidor. ¿Qué tan inseguro es?

1

Estoy evaluando la posibilidad de usar el cliente móvil de Outlook con un servidor Exchange 2013 local. Sin embargo, parece que la aplicación envía bastante datos a los servidores de la nube de Microsoft. También almacena las contraseñas desencriptadas de los usuarios en la memoria del servidor en la nube. En el artículo de TechNet :

  

Después de que el servicio de Outlook haya descifrado la contraseña en tiempo de ejecución, el servicio puede conectarse al servidor de Exchange para sincronizar el correo, el calendario y otros datos del buzón. Mientras el usuario continúe abriendo y utilizando Outlook periódicamente, el servicio de Outlook [sic] mantendrá una copia de la contraseña descifrada del usuario en la memoria para mantener activa la conexión con el servidor Exchange.

Este bit me preocupa en particular, pero no estoy seguro de por qué. ¿Alguien puede explicar si esto es un gran riesgo para la seguridad? ¿El diseño de Microsoft es aceptable o lo suficientemente malo como para abandonar la idea de usar Outlook para dispositivos móviles? ¿Qué factores debo considerar?

    
pregunta phs 18.05.2018 - 23:23
fuente

1 respuesta

1

Creo que es bastante estándar mantener secretos en la memoria. Por qué generalmente es mejor no almacenar las contraseñas en sí mismas, sino usar tokens / keys, no está tan mal IMO. La aplicación tiene que almacenar algún tipo de token / clave de autenticación de todos modos, por lo que al no usar la contraseña, la única ventaja sería que un atacante capaz de obtener dicha clave / token perdería el acceso después de que se cambiara la clave / token (se desconectó) . Debido a que aún podrían acceder a su correo actual y anterior al menos hasta que cierre la sesión / tuvo que escribir la contraseña nuevamente, esto sería de poca comodidad.

    
respondido por el Peter Harmann 19.05.2018 - 00:12
fuente

Lea otras preguntas en las etiquetas