Cos'è la sincronizzazione della password?
La sincronizzazione delle password è un metodo di autenticazione che, a differenza di SSO, richiede all’utente di inserire la propria password durante la connessione alle applicazioni. Questa sincronizzazione, d’altra parte, garantisce che la password dell’utente sia la stessa tra più sistemi. Un sistema, come Active Directory, funge da autorità centrale. Quando le credenziali di un utente vengono aggiornate all’interno dell’autorità centrale, la password viene passata ad altri sistemi come il provider di posta elettronica.
Questa funzionalità si trova nelle soluzioni di gestione delle identità, come quelle offerte da Tools4ever. Le soluzioni di sincronizzazione delle password sono più facili da implementare rispetto al Single Sign-On (SSO) aziendale perché è necessario meno lavoro amministrativo (ovvero, non è necessario creare approvazioni SAML).
Considerazioni speciali
A differenza degli enterprise e Web SSO, la corretta sincronizzazione delle password Il passaggio tra i sistemi richiede che questi i sistemi accettano lo stesso livello di complessità delle password. Se una password semplice viene inviata a un sistema che ne richiede una complessa, quel sistema potrebbe generare un errore e l’utente interessato non sarà in grado di accedere con le credenziali previste. Ciò comporterebbe confusione e una scarsa esperienza utente.
Si consiglia alle organizzazioni che intendono implementare la sincronizzazione delle password di rivedere i requisiti delle password di tutti i sistemi connessi e di prendere nota di quelli più rigorosi. Questi requisiti devono quindi essere implementati nell’autorità centrale (ad es. Active Directory). Ciò garantirà che qualsiasi nuova password venga accettata da tutti i sistemi collegati.
Tuttavia, alcuni sistemi potrebbero non essere compatibili con i requisiti di password di altri sistemi. Ad esempio, la lunghezza massima della password di un sistema può essere inferiore alla lunghezza minima della password di un altro. Oppure un sistema potrebbe richiedere caratteri speciali mentre un altro li proibisce. In questi casi, gli utenti dovranno accedere con credenziali diverse.
Problemi di sicurezza
Ogni singola soluzione di accesso presenta problemi di sicurezza e la sincronizzazione delle password non fa eccezione. Quando tutti i sistemi condividono un’unica password, tutti quei sistemi vengono compromessi quando la password di un utente viene divulgata. Per combattere questo, si consiglia alle organizzazioni di richiedere password di notevole lunghezza e complessità, nonché di addestrare i propri utenti a utilizzare “passphrase” invece delle password tradizionali.
Considera i seguenti requisiti per la password: 20 caratteri, minuscoli e maiuscoli, un numero, cinque caratteri speciali. Qualsiasi password che soddisfi questi requisiti sarà molto difficile da decifrare.
La seguente password tradizionale soddisfa questi requisiti:
H9hab%bk<fM~z!EY-tXK
Tuttavia, poche persone lo ricorderanno. È qui che brillano le “passphrase”. Anche la seguente passphrase soddisfa tutti i requisiti, ma è facile da ricordare:
Ho 3 mele in tasca.
Combinando requisiti di password molto severi con la formazione sulle password, le organizzazioni possono sfruttare i vantaggi del Single Sign-On senza doversi preoccupare di password facilmente decifrabili o di utenti che scrivono le loro password complesse.
Come funziona la sincronizzazione delle password?
I dettagli di implementazione di una soluzione di sincronizzazione delle password variano a seconda del sistema centrale. Alcuni sistemi possono avviare processi esterni quando un utente modifica le proprie credenziali, mentre altri possono fare affidamento su utilità di terze parti per acquisire questi eventi. Active Directory appartiene a quest’ultima categoria.
Utilizzando Active Directory come esempio, una soluzione per la sincronizzazione delle password (come quello offerto da Tools4ever) richiede che un agente sia attivo su ciascuno dei controller di dominio di un’organizzazione. Quando le credenziali di un utente vengono modificate, indipendentemente dal controller di dominio acceso in cui si è verificata la modifica, l’agente acquisisce le nuove credenziali. Queste credenziali vengono quindi passate a un motore di elaborazione, come il software UMRA da Tools4ever. Il motore di elaborazione crittografa quindi le credenziali e le invia a sistemi connessi come Google G Suite, Salesforce, Lotus, SAP, Oracle, AS400, ecc.
