Solutions SSO

Ce n’est pas le cas avec password-elimination SSO parce que EIM est simplement une infrastructure « look-up » (consultation) qui maintient les associations entre vos collaborateurs et leurs profils utilisateur sur différents registres.

Un domaine EIM ne reproduit pas centralement les identités et mots de passe utilisateur et évite ainsi tous les problèmes de synchronisation et de sécurité. C’est une différence importante entre les implémentations password-elimination SSO construites sur EIM et les approches classiques.

password-elimination SSO

Vous pouvez réaliser password-elimination SSO quand vous utilisez EIM conjointement à Kerberos pour l’authentification. Des tickets Kerberos, fortement cryptés par opposition aux identités et mots de passe utilisateurs, se déplacent dans le réseau pour authentifier une personne sur divers registres. Cela étant, vous pouvez définir potentiellement les mots de passe de profil utilisateur i à *NONE. Cette action renforce la sécurité parce que les profils utilisateur ne peuvent pas être atteints à l’aide de mots de passe. Elle réduit également les coûts de gestion parce que seul le mot de passe d’authentification initial doit maintenant exister et être géré.

J’ai aussi entendu une autre objection : SSO affaiblit la sécurité générale parce qu’il offre un point d’accès unique à des gens mal intentionnés.

Or, la majorité de ceux qui se connectent à des registres multiples font l’une de ces deux choses pour éviter des appels fréquents au help desk : ils notent leurs mots de passe quelque part, ou bien ils utilisent le même mot de passe ou des mots de passe similaires quand ils le peuvent. Ces deux actions sont bien pires que l’application de password-elimination SSO.

Si les utilisateurs finaux n’ont qu’un mot de passe à mémoriser, les administrateurs peuvent renforcer la stratégie de mot de p asse et obliger les utilisateurs finaux à créer un mot de passe plus complexe ou plus difficile à deviner, et aussi à le changer plus souvent.

De plus, comme il est possible de changer à *NONE les mots de passe de profil utilisateur validés SSO i, cela réduit le risque de voir un assaillant s’introduire dans le i avec un couple profil/mot de passe utilisateur facile à deviner ou mal géré.

Vous pouvez aussi employer l’authentification multifacteur pour réduire le risque du point d’accès unique. L’authentification multifacteur requiert au moins une forme d’authentification de plus, comme une carte intelligente ou une lecture d’empreinte digitale, en plus d’un ID et mot de passe utilisateur valides, pour être jugée digne de confiance.

Tout est dans la gestion

Les mots de passe sont une vulnérabilité qu’il faut gérer sans faiblesse. Voici une liste d’actions simples à mener sans retard :

• Éliminer tous les mots de passe par défaut.
• Faire expirer les mots de passe tous les 90 jours ou moins.
• Revoir vos règles de composition de mot de passe « • chiffres et /ou caractères spéciaux requis.
• Éliminer les mots de passe faibles ou faciles à deviner, comme les mots du dictionnaire, les noms propres, les termes de culture populaire, les termes spécifiques à l’industrie, les termes géographiques, etc.
• Si possible, éliminer autant de mots de passe que possible à l’aide de password-elimination SSO.

L’avantage est double : meilleure sécurité et économie de temps et d’argent. Les attaques en interne étaient classées en cinquième position sur la liste SANS Top Ten Cyber Security Menaces for 2008. Pour résister à un assaut, vous devez restreindre l’accès aux seules ressources sensibles dont les utilisateurs ont vraiment besoin pour leur travail. Vous devez aussi demander un couple profil/mot de passe utilisateur valide pour l’authentification.

Pour aller plus loin avec les experts @itprofr :

Plusieurs façons de faire du « SSO » dans SharePoint · iTPro.fr

L’avantage de SSO : moins de maintenance · iTPro.fr