私はコンピューターサイエンス部門の学生Web開発者として働いており、Linuxアカウントのパスワードリセット手順の変更を検討するように依頼されました。現在、ユーザーは大学の資格情報を使用して(Active Directoryを介して)ログインし、認証された後、電子メールで一時パスワードを取得します。このパスワードは、ログインするとすぐに変更する必要があります。このようにして、傍受した一時パスワードがある場合は、それが使用されることさえできる非常に短い期間。
これで、一時的なパスワードを使用する代わりに、ユーザーが新しい永続的なパスワードを選択して、Webユーティリティから直接設定できるようにするという考えが提起されました。httpsは「情報を保護するための優れた方法」というよりも「私たちが持っている最高のもの」であると私は理解しています。そのようなシステムを快適に実装できるように、新しいパスワードを保護するために私が探求できる他の方法はありますか?
基本的に、HTTPSを介してサーバーと通信し、サーバーの秘密鍵が他人に公開されていない場合、転送したもの (新しいパスワードなど) はサーバーによってのみ復号化できると確信できます。さらに、サーバー証明書は、通信しているサーバーが実際に通信したいサーバーであることを保証します。
したがって、HTTPS を使用すると、認証が提供され、盗聴が防止されます。
Active Directory を使用している場合、パスワード変更の拡張操作 (既存のパスワードが必要) がサポートされていないことを理解しています。したがって、LDAP 変更要求でパスワードを変更する必要があります。1 つの解決策は、Web アプリケーションでUnboundID LDAP SDKを使用して、新しいパスワードで LDAP の変更を実行することです。変更要求は、安全な接続、または StartTLS 拡張操作を使用して安全な接続に昇格された非安全な接続を介して送信する必要があります。
ldapmodifyに関するものですが、その概念は役に立ちます。