Le password aziendali, sempre a rischio sicurezza, sono divenute il cruccio degli amministratori IT. Dovendo cambiarle spesso, si trovano a fare i conti con la tendenza degli utenti ad inserire sempre le stesse chiavi di accesso facili da ricordare, e dalle quali possono derivare ambienti insicuri, nonché la compromissione di dati e risorse aziendali.
Purtroppo la gestione di “password diverse per programmi diversi” porta anche l'utente a segnarsele e ad apporre un biglietto nella zona scrivania.
Per questo motivo Microsoft ha proposto una nuova alternativa di sincronizzazione password, che varierebbe le chiavi di accesso utente partendo da un'unica password principale.
Ovviamente, qui son sorte le proteste degli esperti di protezione, secondo cui l'individuazione della password chiamiamola “generatore” e la sua replica nei vari database rappresenterebbe un rischio sicurezza. Microsoft, tuttavia, sostiene la validità ed efficacia della propria soluzione contro gli attacchi esterni.
Si chiama ILM, ossia Microsoft Identity Lifecycle Manager (successore di MIIS – Microsoft Identity Integration Server), ed offre gestione e sincronizzazione delle identità , directory e password tra gli archivi di AD, Active Directory Application Mode (ADAM), Exchange 2000 Server o Exchange Server 2003 e Windows NT 4.0, oltre che Lotus Notes, Sun ONE Directory Server e Novell eDirectory.
L'ultima versione è la 2007 ed è scaricabile gratuitamente dal sito Microsoft e richiede una licenza a parte.
Un'alternativa è, altrimenti, Microsoft Identity Integration Feature Pack (IIFP) che offre servizi di sincronizzazione delle identità e sincronizzazione delle password su archivi di AD, ADAM, Exchange 2000 o Exchange 2003.
E' scaricabile gratuitamente dal sito Microsoft e la licenza è inclusa se possessori di Windows Server 2000 o 2003.
La sincronizzazione avviene quando si verifica un’operazione di impostazione, reimpostazione o cambio delle password. Tramite interfaccia web sarà possibile dialogare con il server di sincronizzazione (es. ILM). Le modifiche dovranno avere origine in ambiente Windows per essere replicate e sarà necessario installare su tutti i server di dominio un servizio che cattura i cambiamenti delle password Active Directory: PCNS.
Esistono numerosi prodotti di terze parti che offrono servizi di sincronizzazione delle password. In generale si può dire che offrono una maggiore coesione tra ambienti diversi. La sincronizzazione può avvenire “in assistenza” tramite un sito web oppure attraverso script o tramite avvisi in posta elettronica. Questi servizi tuttavia solitamente hanno un costo mentre IIFP è incluso nel pacchetto server.
Come sempre, la soluzione andrà valutata e ponderata dai responsabili IT in considerazione degli obiettivi aziendali che si devono raggiungere.
