Actualmente estamos utilizando un software de terceros para el inicio de sesión SSO en un entorno híbrido con SAP, ADFS, etc.
Los usuarios tienen que cambiar su contraseña en el software cliente, que luego se envía a un servidor central en la nube del tercero y se usa para un inicio de sesión sincronizado en todo el sistema.
¿Es esta una buena idea y realmente útil? No lo creo, pero es así ...
Pero ahora me pregunto, la política de contraseñas dice que las contraseñas deben tener un mínimo de 8 caracteres / números / caracteres especiales ... hasta ahora todo va bien, pero la longitud máxima también se limita a 12.
¿Qué significa esto en términos de seguridad, qué razones podría tener esto? ¿Significa esto que no hacen hash de la contraseña y los almacenan en texto sin formato en sus servidores? No hay configuración de autenticación de dos factores de ninguna manera. Estoy bastante preocupado ahora, ¿podría alguien aclarar la situación?