Filosofando sull'autenticazione....

[zot]

E' meglio avere un sistema flessibile che permetta di centralizzare le autenticazioni a tutte le risorse o dividere in base alla criticità?
Io ho il pallino per "un solo nome,una sola password" ma mi rendo conto che in molti ambienti sarebbe preferibile che l'utonto di turno(quello con la password attaccata sul monitor che neanche il più grande dei cazziatoni lo smuove) non possa creare macelli...
Ma come???Come rendere possibile "un solo nome,una sola password" ed evitare che chi entri in possesso di tali informazioni possa fare tutto quello che quella password può fare?

[barbasoft]

beh, bella domandina anche se ormai devo dire che i sistemi più comuni quali SAP, CISCO ACS, NIS ..... sono Active Directory Integrated.

Personalmente sono un pochettino contrario a una sola USER / PSWD, ok l'utente deve avere il minor uso possibile ma andrebbe anche indottrinato sul rischio che corre nel caso in cui la sua utenza vada "in giro a far danni"........

Come evitare... ognuno è responsabile della propria user & pswd, l'ufficio del personale provvederà a responsabilizzare l'utente tramite informative ...etc, etc.

...ZI loro, il computer è uno strumento di lavoro dato in dotazione all'utente non un giocattolo. Altrimenti gli si consegnava la PS3!

[andrewp]

E' meglio avere un sistema flessibile che permetta di centralizzare le autenticazioni a tutte le risorse o dividere in base alla criticità?
Io ho il pallino per "un solo nome,una sola password" ma mi rendo conto che in molti ambienti sarebbe preferibile che l'utonto di turno(quello con la password attaccata sul monitor che neanche il più grande dei cazziatoni lo smuove) non possa creare macelli...
Ma come???Come rendere possibile "un solo nome,una sola password" ed evitare che chi entri in possesso di tali informazioni possa fare tutto quello che quella password può fare?

Uhm...in ambito sicurezza le autenticazioni più comuni sono: "io posseggo quindi sono" oppure "io conosco quindi sono".

Puoi unire le due cose in determinate situazioni, se gli utenti utilizzano sempre le loro postazioni o portatili puoi caricare dei certificati sulle macchine e poi richiedere una password.

In questo modo sapendo la pass ma non avendo il certificato sulla macchina l'auth non si presenta proprio, mentre avendo accesso al pc e quindi presentandosi l'auth e non sapendo la pass il risultato è lo stesso.

Poi, dipende dal budget che hai...le chiavette RSA sono una figata spaziale, codice che cambia ogni 60 secondi ed eventualmente password successiva.

[zot]

Allora facciamo così : "possego quindi ho e conosco quindi sono" .....
Ovvero HO il certificato quindi posso AVERE le risorse(authorization),conosco la password associata a quel certificato quindi sono(authentication)colui che può accedere a quelle determinate risorse.
Per quanto riuarda l'acceso a file e directory dovrebbe essere semplice implentando PGP ..per le altre cose non so.....
Sarebbe bello provare una struttura AD con smart card.....

[mondin.luca]

Poi, dipende dal budget che hai...le chiavette RSA sono una figata spaziale, codice che cambia ogni 60 secondi ed eventualmente password successiva.

Ormai in molti ambienti in cui sono stato vedo solo questo sistema di autenticazione sia x vpn che per accessi locali in cui il server RSA si collega al server Radius per un autenticazione congiunta penso che sia il sistema migliore superiore anche ai certificati dato che il passcode è sia fisso che variabile e quindi anche qui c'è bisogno d sapere entrambi per poter accedere.