Punya SSO? Anda Masih Membutuhkan Keamanan Kata Sandi

SSO adalah alat produktivitas dan keamanan yang hebat, tetapi meninggalkan celah keamanan terkait sandi.

Solusi sistem masuk tunggal (SSO) dengan cepat meningkat popularitasnya bahkan sebelum pandemi COVID-19 mendorong gempuran gila-gilaan ke cloud. Sekarang, SSO lebih populer dari sebelumnya karena kenyamanan dan manfaat keamanan yang diberikannya kepada organisasi dengan tenaga kerja terdistribusi, termasuk:

• Hanya satu kata sandi untuk diingat oleh karyawan. Penghapusan "kelelahan kata sandi" adalah salah satu pendorong terbesar untuk adopsi SSO. Alih-alih kata sandi yang berbeda untuk setiap aplikasi dan layanan, karyawan hanya perlu mengingat kata sandi sistem masuk tunggal mereka.
• Hanya satu kata sandi untuk dimasukkan, sekali sehari. Selain tidak harus mengingat banyak kata sandi, karyawan tidak perlu memasukkan banyak kata sandi sepanjang hari kerja. Mereka memasukkan sandi SSO satu kali, di awal hari kerja, sehingga tidak membuang waktu mengetik sandi sepanjang hari kerja.
• Potong tiket meja bantuan menjadi dua. Grup Gartner memperkirakan bahwa pengaturan ulang kata sandi akun hingga 50% dari tiket meja bantuan. SSO berjanji untuk menghilangkan tiket ini secara virtual, memungkinkan karyawan pendukung untuk menghabiskan lebih banyak waktu membantu pengguna akhir dengan masalah yang lebih kompleks.
• Penerapan akses dan manajemen identitas (IAM) yang lebih mudah. SSO mengurangi kerumitan dalam mengonfigurasi autentikasi dan kontrol akses, memungkinkan penerapan solusi IAM yang lebih cepat dan sederhana, serta jalur yang lebih cepat ke lingkungan tanpa kepercayaan.
• Pelaporan kepatuhan yang lebih mudah. Banyak kerangka kerja kepatuhan umum memerlukan jejak audit pengguna untuk data masuk pengguna. SSO memudahkan untuk menyertakan data ini dalam laporan kepatuhan.

Kekurangan SSO: Kesenjangan Keamanan Terkait Kata Sandi

Tujuan SSO adalah untuk mempermudah mengakses sumber daya. Itu bagus untuk produktivitas, tetapi tidak dari perspektif keamanan:

• Satu kata sandi sama dengan satu titik kegagalan. Jika seorang karyawan kehilangan atau lupa kata sandi untuk satu akun, mereka akan dikunci dari akun tersebut. Jika lupa sandi SSO, semua akunnya akan dikunci. Yang lebih memprihatinkan, jika penjahat dunia maya mendapatkan sandi SSO, mereka dapat masuk ke semua akun yang terkait dengan pekerjaan karyawan tersebut. Verizon memperkirakan bahwa lebih dari 80% pelanggaran data yang berhasil dihasilkan dari kata sandi yang disusupi, yang merupakan kelemahan besar.
• Aplikasi lini bisnis (LOB) lama tidak mendukung SSO. Meskipun pandemi COVID-19 telah mempercepat upaya transformasi digital selama beberapa tahun, sebagian besar organisasi masih menggunakan setidaknya beberapa aplikasi LOB lama yang tidak mendukung SSO. Karena mereka sangat tua, memodernisasinya tidak realistis; karena mereka sangat terspesialisasi, menggantinya juga tidak mungkin.
• Tidak semua aplikasi modern mendukung SSO. Aplikasi lawas bukan satu-satunya hal yang sulit. Banyak aplikasi dan layanan modern juga tidak mendukung SSO, terutama aplikasi desktop. Sangat jarang penerapan SSO organisasi mencakup semua aplikasi yang digunakan karyawan mereka, terutama di perusahaan besar, di mana ratusan aplikasi mungkin digunakan.
• Aplikasi yang berbeda dapat menggunakan protokol SSO yang berbeda. Karyawan Anda mungkin perlu menggunakan aplikasi yang menggunakan protokol berbeda dari yang digunakan oleh penyedia identitas (IdP) organisasi Anda. Misalnya, jika IdP Anda menggunakan protokol SAML, solusi SSO Anda tidak akan mendukung aplikasi yang menggunakan OAuth.
• Tidak ada kontrol atas kebiasaan kata sandi pengguna. Penerapan SSO tidak memberikan visibilitas apa pun ke dalam praktik keamanan sandi yang buruk. Karyawan dapat memilih kata sandi yang lemah atau sebelumnya telah disusupi untuk login SSO mereka, atau mereka dapat menggunakan kembali kata sandi yang mereka gunakan di beberapa akun tambahan. Mereka mungkin melakukan hal yang sama untuk semua aplikasi yang tidak didukung penerapan SSO Anda. Mereka juga dapat membagikan kata sandi mereka dengan pihak yang tidak berwenang.
• Tidak ada perlindungan untuk pengguna atau sesi dengan hak istimewa. Biasanya, pengguna harus memasukkan kredensial terpisah untuk mengakses sistem dan data yang sangat sensitif, tetapi tujuan SSO adalah memberikan akses semua akses kepada pengguna dengan satu autentikasi.

4 Cara untuk Menjembatani Kesenjangan Keamanan Terkait Kata Sandi yang Ditinggalkan oleh SSO

Terlepas dari risiko ini, organisasi yang berpikiran keamanan tidak boleh mengabaikan penerapan SSO mereka. Tidak ada solusi keamanan yang merupakan obat mujarab. Dengan memasangkan solusi SSO mereka dengan teknologi pelengkap, organisasi dapat menopang celah keamanan terkait kata sandi sambil mempertahankan produktivitas dan kemudahan manfaat penggunaan SSO.

#1. Menerapkan kontrol akses berbasis peran (RBAC) dengan akses hak istimewa paling rendah untuk semua pengguna

Prinsip hak istimewa terkecil, yang menyatakan bahwa pengguna harus memiliki akses hanya ke tingkat minimum hak istimewa sistem untuk melakukan pekerjaan mereka dan tidak lebih, sangat penting untuk mengurangi potensi serangan permukaan organisasi. Masukkan RBAC, yang menyederhanakan penetapan dan pengelolaan tingkat kontrol akses.

Untuk membuat penetapan peran RBAC lebih mudah dikelola, hindari menetapkan peran secara langsung kepada pengguna. Sebagai gantinya, buat grup, tetapkan hak istimewa ke grup, dan tambahkan pengguna ke grup yang sesuai. Selain meminimalkan jumlah penetapan peran, praktik ini menghemat waktu jika perubahan hak istimewa perlu dilakukan untuk setiap pengguna dalam grup. Pastikan grup Anda dapat digunakan kembali dan hindari membuat terlalu banyak peran khusus.

#2. Menerapkan Manajemen Akses Istimewa (PAM) dengan Manajemen Sesi Istimewa (PSM) untuk pengguna istimewa

Tidak seperti SSO, yang berfokus untuk membuat akses semudah mungkin, PAM berfokus pada membatasi akses ke sistem dan data perusahaan yang paling sensitif. Organisasi menggunakan PAM untuk membatasi dan memantau akses ke sistem mereka yang paling kritis dan sensitif. Pengguna yang memiliki hak istimewa biasanya adalah orang dalam perusahaan tingkat tinggi, seperti admin TI dan keamanan serta eksekutif tingkat C, meskipun vendor dan mitra tepercaya mungkin juga termasuk dalam kategori ini.

PAM dan PSM berjalan beriringan. Sementara PAM mengontrol akses pengguna ke sumber daya sensitif, PSM mencegah pengguna yang memiliki hak istimewa untuk menyalahgunakan akses tersebut dengan mengontrol, memantau, dan merekam sesi pengguna yang memiliki hak istimewa. Pemantauan dan perekaman PSM tipikal sangat terperinci dan mencakup penekanan tombol, gerakan mouse, dan tangkapan layar. Selain memastikan keamanan, jejak audit PSM diperlukan oleh beberapa kerangka kepatuhan, termasuk HIPAA, PCI DSS, FISMA, dan SOX.

#3. Terapkan autentikasi multi-faktor pada semua aplikasi dan layanan yang mendukungnya

Otentikasi multi-faktor (2FA) adalah salah satu pertahanan paling kuat terhadap kata sandi yang disusupi. Bahkan jika penjahat dunia maya mengkompromikan kata sandi, mereka tidak dapat menggunakannya tanpa faktor otentikasi kedua. 2FA melindungi semua pengguna dari mereka yang memiliki akses sistem paling minimal ke pengguna paling istimewa perusahaan. Ini meningkatkan kepercayaan nol dengan memungkinkan organisasi untuk mengotentikasi identitas pengguna.

Beberapa organisasi ragu untuk menerapkan 2FA karena khawatir akan menghambat produktivitas dengan memaksa karyawan untuk melalui langkah-langkah tambahan untuk masuk. Masalah ini mudah diperbaiki dengan memasangkan 2FA dengan solusi keamanan kata sandi modern yang memungkinkan pengguna untuk menyimpan kredensial 2FA mereka bersama dengan kata sandi mereka .

#4. Terapkan platform enkripsi dan keamanan kata sandi perusahaan di seluruh perusahaan

Keamanan kata sandi dan platform enkripsi memungkinkan karyawan untuk menyimpan semua kredensial login mereka dengan aman dalam satu repositori terpusat, pribadi, terenkripsi. Seperti SSO, pengguna hanya mengingat satu "kata sandi utama", yang digunakan untuk mengakses semua kredensial di repositori digital mereka.

Tidak seperti SSO, platform enkripsi dan keamanan kata sandi perusahaan yang baik dirancang untuk bekerja dengan semua layanan dan aplikasi, termasuk aplikasi lawas; mereka menyertakan fitur tambahan, seperti pembuat kata sandi otomatis yang kuat dan alat isi otomatis. Mereka juga memberi administrator TI visibilitas lengkap ke dalam kebiasaan kata sandi pengguna dan menegakkan kebijakan keamanan kata sandi. Pastikan untuk menerapkan platform enkripsi dan keamanan kata sandi tingkat perusahaan yang terintegrasi secara mulus dengan penerapan SSO Anda yang ada dan memberikan dukungan untuk RBAC, 2FA, audit, dan pelaporan peristiwa.

SSO menimbulkan risiko keamanan hanya jika organisasi melihatnya sebagai solusi mandiri. Dengan mengenali celah keamanan terkait kata sandi yang melekat pada SSO dan mengimbanginya dengan menerapkan teknologi pelengkap, seperti 2FA, RBAC, PAM/PSM, dan platform keamanan dan enkripsi kata sandi, organisasi dapat meningkatkan efisiensi, meningkatkan pengalaman pengguna akhir, dan melindungi diri mereka dari serangan siber terkait kata sandi.

Ditulis oleh Teresa Rothaar