sch*_*ard 2 windows asp.net lync
我们从客户那里收到了很多密码重置请求(过期或丢失)。我想过一个自动解决方案:
你怎么看这个解决方案?是保存还是有更好的方法?如果是,知道如何解决这个问题吗?
先感谢您。
您正在寻找的是所谓的自助密码重置。它甚至还有一个首字母缩略词 (SSPR),是身份和访问管理的一部分。
大量供应商为此发布了解决方案,尽管产品推荐不是本文的主题,但供应商包括 IBM、Hitachi ID Systems、Microsoft 和 Courion。
通常这是最便宜和最基本的产品。然而,大多数时候这个功能是基于二级证书(最常见的安全问题,或者“你知道你的帐户密码什么?”)。
我上面提到的至少一个供应商提供了一个与您所谈论的非常相似的现成解决方案,尽管在这些产品中使用手机的情况要少得多。
当然,这样做会改变您的安全足迹。如果您可以确保只能从企业内部访问门户(这实际上非常困难),您的电话号码列表是最新的,并且电话是安全的,不会被盗(或者是内部有线电话),那么这会更容易。如果电话是员工的个人移动电话,那么您系统中最薄弱的环节就会成为其中之一的失窃或妥协。在继续之前,请确保您对此感到满意。
还请记住,帮助台密码重置所需的妥协通常只是社会工程,并且可能知道您的服务台人员可能会问的问题的答案(如果有的话),因此 SSPR 不太可能成为您最薄弱的环节. 这是企业中经常被忽视的安全故障。
自己用 asp.net 和 lync 构建它通常不是一个好的计划。您将信任该服务的帐户可以重置几乎任何其他帐户的密码,因此它是一个非常大的妥协目标。我不愿意相信我很快就编写了那么多的脚本。