我们正在自动创建 AD 帐户和密码。帮助台不会知道密码或以其他方式使用它。我正在寻找其他可能正在执行相同类型程序的公司。我们将要求最终用户来到帮助台重置密码。我正在寻找其他类型的选项,我们仍然不知道密码,但需要为最终用户提供支持。
答案1
您可以从 www.tools4ever.com 查看 SSRPM。
答案2
您不需要帮助台知道最终用户密码。您可以做的是:
- 使用密码生成器创建账户 - 不要告诉任何人密码
- 在新用户开始使用之日,帮助台的职责之一是在用户致电并向用户提供新密码时重置用户密码。同时,帮助台还设置“用户必须在下次登录时更改密码”选项。请注意,这是可审计的,应定期进行审计。
- 用户在其工作站登录并被迫生成新密码。
您的问题引出了以下几个问题:
- 如果密码是自动生成的,最终用户获取初始密码的机制是什么?
- 您目前如何处理忘记密码?“新”忘记密码(新账户)与现有密码有何不同?
- 为什么用户需要来到帮助台重置密码?
答案3
假设您的人力资源系统可以发布数据,那么您可以从中获取一些信息(例如 DOB)作为初始用户密码,以及重置用户密码的密码,然后编写一个工具,允许帮助台将用户的密码重置为其 DOB,而无需告诉帮助台 DOB 实际上是什么。(此工具应设置“用户必须在下次登录时更改密码”标志,强制用户在登录时更改为更安全的密码)
然后他们可以告诉用户“您的密码是您的出生日期,格式如下 ../../..”而无需知道实际的出生日期。显然,鉴于大多数人并不将自己的出生日期视为国家机密,因此对于帮助台/恶意攻击者来说,这并不是什么难事,所以您应该小心。但是,如果帮助台不知道新的临时密码,您还能如何让 heldpesk 告诉用户“您的密码已重置”,并且用户知道密码已重置为多少”。
在我工作的大学,我们也做过类似的事情,只不过帮助台在重置密码时可以看到从学生记录中移植的用户出生日期(我们的学生似乎多次错误地向我们提供了他们的出生日期,因此这对我们来说是一个必要的故障排除步骤)。
你确实需要仔细考虑这一点——如果这样做是为了满足某人对“安全”系统的理论想法,那么我想知道那个人是否真的考虑过对你的最终用户的影响,以及他们和服务台将采取的解决方法有只是为了完成工作而雇用,这不仅会破坏这个想法,而且会导致整体安全性恶化。