从一个客户,我们得到了很多密码重置请求(过期或丢失)。 我曾想过一个自动解决scheme:
你对这个解决scheme有什么看法? 是保存还是有更好的方法? 如果是的话,有一个想法如何解决?
先谢谢你。
你正在寻找的是所谓的自助服务密码重置。 它甚至有一个缩写(SSPR),是身份和访问pipe理的一部分。
供应商负责为此发布解决scheme,虽然产品推荐不在这里讨论,但厂商包括IBM,Hitachi ID Systems,Microsoft和Courion。
通常这是最便宜和最基本的产品。 但是,大多数情况下,此function基于辅助凭据(通常是安全问题,或者“您是否知道您的帐户密码?”)。
至less我上面提到的一个供应商提供了一个与你所谈论的非常相似的现成解决scheme,尽pipe在这些产品中使用电话的情况相当不常见。
当然,这样做会改变您的安全足迹。 如果您可以确保只从企业内部访问门户(这实际上非常困难),您的电话号码列表是最新的,并且电话是安全的(或者是内部有线电话),这更容易。 如果这些电话是员工的个人手机,那么系统中最薄弱的环节就会成为这些人中的一员。 在继续之前,确保你没问题。
请记住,帮助台密码重置所需的妥协通常只是社会工程学,并且可能知道您的帮助台人员可能会问的问题的答案(如果有的话),所以SSPR不太可能成为您最薄弱的环节。 这是一个经常被忽视的安全失败的企业。
用asp.net和lync自己构build这个通常不是一个好的计划。 你会信任这个服务的帐户,可以重置几乎任何其他帐户的密码,所以这是一个非常大的妥协目标。 我不愿意相信一些脚本,我很快就一起入侵。