هل حصلت على الدخول الموحّد (SSO)؟ ما زلت بحاجة إلى أمان كلمة المرور

يُعد الدخول المُوحَّد (SSO) أداة إنتاجية وأمان رائعة ، لكنه يترك ثغرات أمنية متعلقة بكلمة المرور.

كانت حلول تسجيل الدخول الأحادي (SSO) تزداد بسرعة في شعبيتها حتى قبل أن يتسبب جائحة COVID-19 في اندفاع مجنون إلى السحابة. الآن ، أصبح الدخول الموحّد (SSO) أكثر شيوعًا من أي وقت مضى نظرًا لمزايا الراحة والأمان التي يوفرها للمؤسسات مع القوى العاملة الموزعة ، بما في ذلك:

• كلمة مرور واحدة فقط يجب على الموظفين تذكرها. يعد القضاء على "إرهاق كلمة المرور" أحد أكبر الدوافع لاعتماد SSO. بدلاً من استخدام كلمة مرور مختلفة لكل تطبيق وخدمة ، يحتاج الموظفون فقط إلى حفظ كلمة مرور تسجيل الدخول الفردي الخاصة بهم.
• كلمة مرور واحدة فقط للدخول ، مرة واحدة في اليوم. إلى جانب عدم الاضطرار إلى تذكر كلمات مرور متعددة ، لا يحتاج الموظفون إلى إدخال كلمات مرور متعددة طوال يوم العمل. يقومون بإدخال كلمة مرور SSO الخاصة بهم مرة واحدة ، في بداية يوم عملهم ، مما يقلل الوقت الضائع في كتابة كلمات المرور طوال يوم العمل.
• قطع تذاكر مكتب المساعدة إلى النصف. تقدر مجموعة Gartner أن إعادة تعيين كلمة المرور تمثل ما يصل إلى 50٪ من تذاكر مكتب المساعدة. يعد SSO بإلغاء هذه التذاكر فعليًا ، مما يتيح لموظفي الدعم قضاء المزيد من الوقت في مساعدة المستخدمين النهائيين الذين يعانون من مشاكل أكثر تعقيدًا.
• سهولة نشر الوصول إلى الهوية وإدارتها (IAM). يقلل الدخول الموحّد (SSO) من تعقيد تكوين المصادقة وضوابط الوصول ، مما يتيح النشر الأسرع والأبسط لحلول IAM ، وكذلك المسار الأسرع إلى بيئة انعدام الثقة.
• أسهل لإعداد تقارير الامتثال. تتطلب العديد من أطر عمل الامتثال الشائعة مسارات تدقيق المستخدم لبيانات تسجيل دخول المستخدم. يسهّل الدخول الموحّد (SSO) تضمين هذه البيانات في تقارير الامتثال.

عيوب الدخول الموحّد (SSO): الثغرات الأمنية المتعلقة بكلمة المرور

الغرض من الدخول الموحّد (SSO) هو تسهيل الوصول إلى الموارد. هذا رائع للإنتاجية ، ولكن ليس من منظور الأمان:

• كلمة مرور واحدة تعادل نقطة واحدة من الفشل. إذا فقد موظف أو نسي كلمة مرور لحساب واحد ، فسيتم حظره من هذا الحساب. إذا نسوا كلمة مرور SSO الخاصة بهم ، فسيتم حظرهم من جميع حساباتهم. والأكثر إثارة للقلق ، إذا حصل المجرم الإلكتروني على كلمة مرور SSO ، فيمكنه الوصول إلى جميع حسابات الموظف المتعلقة بالعمل. تقدر Verizon أن أكثر من 80٪ من خروقات البيانات الناجحة ناتجة عن اختراق كلمات المرور ، وهو عيب كبير.
• لا تدعم تطبيقات خط الأعمال القديم (LOB) الدخول الموحد. على الرغم من أن جائحة COVID-19 أدى إلى تسريع جهود التحول الرقمي لعدة سنوات ، لا تزال معظم المؤسسات تستخدم على الأقل عددًا قليلاً من تطبيقات LOB القديمة التي لا تدعم SSO. لأنهم قديمون جدًا ، فإن تحديثهم ليس أمرًا واقعيًا ؛ لأنهم شديدو التخصص ، فإن استبدالهم غير ممكن أيضًا.
• لا تدعم جميع التطبيقات الحديثة الدخول الموحّد (SSO). التطبيقات القديمة ليست هي النقطة الشائكة الوحيدة. العديد من التطبيقات والخدمات الحديثة لا تدعم SSO أيضًا ، خاصة تطبيقات سطح المكتب. من النادر أن يغطي نشر الدخول الموحّد (SSO) لمؤسسة ما جميع التطبيقات التي يستخدمها موظفوها ، لا سيما في المؤسسات الأكبر حجمًا ، حيث قد يتم استخدام مئات التطبيقات حرفيًا.
• قد تستخدم التطبيقات المختلفة بروتوكولات SSO مختلفة. قد يحتاج موظفوك إلى استخدام التطبيقات التي تستخدم بروتوكولًا مختلفًا عن الذي يستخدمه موفر الهوية (IdP) الخاص بمؤسستك. على سبيل المثال ، إذا كان IdP يستخدم بروتوكول SAML ، فلن يدعم حل SSO التطبيقات التي تستخدم OAuth.
• لا سيطرة على عادات كلمة مرور المستخدم. لا توفر عمليات نشر الدخول الموحّد (SSO) أي رؤية لممارسات أمان كلمات المرور السيئة. قد يختار الموظفون كلمة مرور ضعيفة أو تم اختراقها مسبقًا لتسجيل الدخول إلى خدمة الدخول الموحد ، أو يمكنهم إعادة استخدام كلمة مرور يستخدمونها في حسابات إضافية متعددة. قد يفعلون الشيء نفسه مع جميع التطبيقات التي لا يدعمها نشر SSO. يمكنهم أيضًا مشاركة كلمات المرور الخاصة بهم مع جهات غير مصرح لها.
• لا حماية للمستخدمين أو الجلسات المميزة. عادةً ، يجب على المستخدمين إدخال بيانات اعتماد منفصلة للوصول إلى الأنظمة والبيانات الحساسة بشكل خاص ، ولكن الغرض من الدخول الموحد هو منح المستخدمين تصريح وصول كامل بمصادقة واحدة.

4 طرق لسد الثغرات الأمنية المتعلقة بكلمة المرور التي خلفها الدخول الموحّد (SSO)

على الرغم من هذه المخاطر ، يجب على المؤسسات التي تهتم بالأمن ألا تتجاهل عمليات نشر الدخول الموحّد (SSO) الخاصة بها. لا يوجد حل أمني هو الدواء الشافي. من خلال إقران حلول SSO الخاصة بهم مع التقنيات التكميلية ، يمكن للمؤسسات تدعيم الثغرات الأمنية المتعلقة بكلمة المرور مع الاحتفاظ بالإنتاجية وسهولة استخدام مزايا SSO.

# 1. تنفيذ التحكم في الوصول المستند إلى الدور (RBAC) مع الوصول الأقل امتيازًا لجميع المستخدمين

يعد مبدأ الامتياز الأقل ، الذي يفرض على المستخدمين الوصول إلى الحد الأدنى فقط من امتيازات النظام للقيام بوظائفهم وليس أكثر ، أمرًا بالغ الأهمية لتقليل سطح الهجوم المحتمل للمؤسسة. أدخل RBAC ، مما يبسط تعيين وإدارة مستويات التحكم في الوصول.

لجعل تعيينات دور RBAC أكثر قابلية للإدارة ، تجنب تعيين الأدوار للمستخدمين مباشرةً. بدلاً من ذلك ، يمكنك إنشاء مجموعات وتخصيص امتيازات للمجموعات وإضافة مستخدمين إلى المجموعات وفقًا لذلك. بالإضافة إلى تقليل عدد تعيينات الأدوار ، توفر هذه الممارسة الوقت إذا كان يلزم إجراء تغيير في الامتياز لكل مستخدم داخل المجموعة. تأكد من أن مجموعاتك قابلة لإعادة الاستخدام وتجنب إنشاء الكثير من الأدوار المخصصة.

# 2. تنفيذ إدارة الوصول المميز (PAM) مع إدارة الجلسة المميزة (PSM) للمستخدمين المتميزين

بخلاف SSO ، الذي يركز على تسهيل الوصول قدر الإمكان ، يركز PAM على تقييد الوصول إلى البيانات والأنظمة الأكثر حساسية للشركة. تستخدم المنظمات PAM لتقييد ومراقبة الوصول إلى أنظمتها الأكثر أهمية وحساسية. عادةً ما يكون المستخدمون المتميزون هم من المطلعين رفيعي المستوى في الشركة ، مثل مسؤولي تكنولوجيا المعلومات والأمان والمديرين التنفيذيين على مستوى C ، على الرغم من أن البائعين والشركاء الموثوق بهم قد يندرجون أيضًا في هذه الفئة.

يسير PAM و PSM جنبًا إلى جنب. بينما يتحكم PAM في وصول المستخدم إلى الموارد الحساسة ، يمنع PSM المستخدمين المتميزين من إساءة استخدام هذا الوصول من خلال التحكم في جلسات المستخدم المميزة ومراقبتها وتسجيلها. تعتبر مراقبة وتسجيل PSM النموذجية دقيقة للغاية وتتضمن ضغطات المفاتيح وحركات الماوس ولقطات الشاشة. بالإضافة إلى ضمان الأمان ، فإن مسارات تدقيق PSM مطلوبة من خلال العديد من أطر الامتثال ، بما في ذلك HIPAA و PCI DSS و FISMA و SOX.

# 3. نفِّذ المصادقة متعددة العوامل على جميع التطبيقات والخدمات التي تدعمها

تعد المصادقة متعددة العوامل (2FA) واحدة من أقوى الدفاعات ضد كلمات المرور المخترقة. حتى إذا قام أحد المجرمين الإلكترونيين باختراق كلمة مرور ، فلا يمكنهم استخدامها بدون عامل المصادقة الثاني. تحمي المصادقة 2FA جميع المستخدمين من أولئك الذين لديهم الحد الأدنى من وصول الأنظمة إلى مستخدمي الشركة الأكثر امتيازًا. إنه يعزز انعدام الثقة من خلال السماح للمؤسسات بمصادقة هويات المستخدمين.

تتردد بعض المؤسسات في تنفيذ المصادقة الثنائية (2FA) خوفًا من أنها ستعيق الإنتاجية من خلال إجبار الموظفين على اتباع خطوات إضافية لتسجيل الدخول. ويمكن تصحيح هذه المشكلة بسهولة عن طريق إقران 2FA بحل أمان كلمة مرور حديث يتيح للمستخدمين تخزين بيانات اعتماد المصادقة الثنائية (2FA) مع كلمات المرور الخاصة بهم .

# 4. انشر نظامًا أساسيًا لأمان كلمة مرور المؤسسة والتشفير على مستوى الشركة

تتيح منصة أمان وتشفير كلمات المرور للموظفين إمكانية تخزين جميع بيانات اعتماد تسجيل الدخول الخاصة بهم بأمان في مستودع واحد مركزي خاص ومشفّر. مثل SSO ، يحفظ المستخدمون "كلمة مرور رئيسية" واحدة فقط ، والتي تُستخدم للوصول إلى جميع بيانات الاعتماد في مستودعهم الرقمي.

على عكس SSO ، تم تصميم نظام أساسي جيد لأمان كلمات مرور المؤسسات والتشفير للعمل مع جميع الخدمات والتطبيقات ، بما في ذلك التطبيقات القديمة ؛ أنها تتضمن ميزات إضافية ، مثل مولدات كلمات المرور القوية التلقائية وأدوات الملء التلقائي. كما أنها تمنح مسؤولي تكنولوجيا المعلومات رؤية كاملة لعادات كلمة مرور المستخدم وفرض سياسات أمان كلمة المرور. تأكد من نشر نظام أساسي لأمان وتشفير كلمات المرور على مستوى المؤسسة يتكامل بسلاسة مع نشر SSO الحالي ويوفر الدعم لـ RBAC و 2FA والتدقيق وإعداد تقارير الأحداث.

يشكل الدخول الموحّد (SSO) مخاطر أمنية فقط إذا رأت المؤسسات أنه حل مستقل. من خلال الاعتراف بالفجوات الأمنية المتعلقة بكلمة المرور المتأصلة في SSO والتعويض عنها من خلال تنفيذ تقنيات تكميلية ، مثل 2FA و RBAC و PAM / PSM ومنصة أمان وتشفير كلمة المرور ، يمكن للمؤسسات تعزيز الكفاءة وتحسين تجربة المستخدم النهائي ، وحماية أنفسهم من الهجمات الإلكترونية المتعلقة بكلمة المرور.

بقلم تيريزا روتار