Как вы гарантируете, что приложения, использующие ваши доменные учетные данные для входа, не хранят ваш пароль?

Question

Есть несколько приложений, которые используют ваши учетные данные домена для входа в систему. Например: пользовательские корпоративные приложения. Как вы гарантируете, что такие приложения не хранят ваш пароль?

Причина, по которой я спрашиваю это: если вы разрабатываете приложение, которое делает то же самое, как вы убедите пользователя, что вашему приложению можно доверять, чтобы не хранить пароль?

Answer 1

Если вы действительно хотите, чтобы пользователь был уверен, что ваше приложение не хранит свой пароль, не используйте его пароль.

В домене Microsoft Active Directory при входе в систему используется Kerberos.Kerberos - это решение SSO;приложение может использовать учетные данные Kerberos пользователя, не требуя, чтобы пользователь вводил свой пароль повторно.Учетные данные, полученные приложением, могут быть действительны только в течение срока действия билета Kerberos пользователя - возможно, не более недели.

Если у вас есть веб-приложение, оно также может принять участие в программе «добрые дела» через SPNEGO.Возможно, вы видели это в виде сайтов Sharepoint, которым не требуется вход в систему, если вы находитесь в домене компании.

Answer 2

Если вы использовали стандартную аутентификацию Windows на основе AD, у них не должно быть вашего пароля, но они, безусловно, могут выполнять действия, используя ваш пользовательский контекст.

Если вы предоставляете имя пользователя / пароль для входа в систему с использованием стандартной аутентификации Windowsтогда вы не сможете быть уверены, что они этого не сохранили.

Если Windows Auth выпустил токены входа, срок действия которых истек, это может быть другой историей, но я не верю, что так оно и работает, и, конечно,все равно будет бесполезен во втором случае.