當你的密碼爆炸時,你難道不討厭它嗎?魔法煙霧從您的伺服器中取出,並設置lp0 燃燒?
嚴肅地說,人們需要用戶名和密碼的地方數量正在急劇增加。看起來像開放ID在不久的將來不會解決問題,並且單一登入即使不考慮外面的大網,這看起來更像是一個目標,而不是內部的現實。
我剛剛參加完一次會議,會議上有人告訴我,我們已經支付了訪問多個外部網站的費用,並且希望降低門檻並增加員工(和學生)使用這些資源的可能性。講者認為,我們前 5% 到 10% 的用戶可能會使用這些網站,但如果我們能夠提供一種方法讓人們登入這些網站(並為他們提供啟動頁面),那麼使用率可能會增加(我們可以節省技術支援資金,但不必在人們忘記密碼時幫助他們。
對於您的組織中的這個問題,您正在採取什麼措施?有什麼明智的做法嗎?
答案1
Kerberos 可以幫助您完成 90% 的任務。然後,您必須讓瀏覽器將 kerberos 令牌傳遞到內部網站(查看 Mozilla 變體的 about:config,搜尋「nego」以查看首選項)。
之後,對需要密碼或 LDAP 的事物進行 RADIUS 類型驗證。
答案2
我們正在廣泛使用中央身份驗證服務(維基百科條目)。它有很多功能的插件,我們已經成功地將它用於每個用戶具有單獨身份資訊的服務。我相信它也可用於對網站進行通用登入的服務。
答案3
有的是守護者選項。 Keepass 可以開啟一個網站,選擇正確的登入字段,輸入您的使用者名稱和密碼,然後按回車鍵,所有操作只需輕輕一擊即可完成。將預先填入的 keeppass DB 放在隨身碟上並將其提供給您的用戶,他們也可以在其中儲存自己的密碼。
對於數千名用戶的基於Web 的登入系統來說,它可能還不夠好,但它可能會讓用戶更放心,因為他們的密碼是安全的(並且對於個人用戶來說仍然是一個很好的解決方案)。
答案4
如果各種工具/網站/服務支援 LDAP,則登入時可能是必需的,至少他們會向您的 OpenLDAP 或 Active Directory 基礎架構進行身份驗證,因此使用者名稱和密碼不會是「新的」。