Hai SSO? Hai ancora bisogno della sicurezza della password

SSO è un ottimo strumento di produttività e sicurezza, ma lascia lacune di sicurezza relative alle password.

Le soluzioni Single Sign-On (SSO) stavano rapidamente guadagnando popolarità anche prima che la pandemia di COVID-19 spingesse a una folle corsa al cloud. Ora, SSO è più popolare che mai grazie alla praticità e ai vantaggi in termini di sicurezza che offre alle organizzazioni con forza lavoro distribuita, tra cui:

• Una sola password da ricordare per i dipendenti. L'eliminazione della "fatica della password" è uno dei maggiori fattori trainanti per l'adozione di SSO. Invece di una password diversa per ogni app e servizio, i dipendenti devono solo memorizzare la propria password Single Sign-On.
• Una sola password da inserire, una volta al giorno. Oltre a non dover ricordare più password, i dipendenti non hanno bisogno di inserire più password durante la giornata lavorativa. Immettono la password SSO una volta, all'inizio della giornata lavorativa, eliminando il tempo perso a digitare le password durante la giornata lavorativa.
• Taglia a metà i ticket dell'help desk. Il gruppo Gartner stima che le reimpostazioni delle password rappresentino fino al 50% dei ticket dell'help desk. SSO promette di eliminare virtualmente questi ticket, consentendo ai dipendenti dell'assistenza di dedicare più tempo ad aiutare gli utenti finali con problemi più complessi.
• Distribuzione più semplice dell'accesso e della gestione delle identità (IAM). SSO riduce la complessità della configurazione dell'autenticazione e dei controlli di accesso, consentendo l'implementazione più rapida e semplice delle soluzioni IAM, nonché un percorso più rapido verso un ambiente zero-trust.
• Segnalazione di conformità più semplice. Molti framework di conformità comuni richiedono audit trail degli utenti per i dati di accesso degli utenti. SSO semplifica l'inclusione di questi dati nei report di conformità.

Il difetto di SSO: lacune di sicurezza legate alla password

Lo scopo dell'SSO è facilitare l'accesso alle risorse. È ottimo per la produttività, ma non dal punto di vista della sicurezza:

• Una singola password equivale a un singolo punto di errore. Se un dipendente perde o dimentica la password di un singolo account, viene bloccato fuori da quell'account. Se dimenticano la password SSO, vengono bloccati da tutti i loro account. Ancora più preoccupante, se un criminale informatico entra in possesso di una password SSO, può accedere a tutti gli account relativi al lavoro del dipendente. Verizon stima che oltre l'80% delle violazioni dei dati riuscite derivino da password compromesse, il che rappresenta un enorme svantaggio.
• Le app line-of-business (LOB) legacy non supportano SSO. Nonostante la pandemia di COVID-19 abbia accelerato gli sforzi di trasformazione digitale di diversi anni, la maggior parte delle organizzazioni utilizza ancora almeno alcune app LOB legacy che non supportano l'SSO. Poiché sono così vecchi, modernizzarli non è realistico; poiché sono così altamente specializzati, non è nemmeno possibile sostituirli.
• Non tutte le app moderne supportano SSO. Le app legacy non sono l'unico punto critico. Anche molte app e servizi moderni non supportano SSO, in particolare le app desktop. È raro che la distribuzione SSO di un'organizzazione copra tutte le app utilizzate dai dipendenti, specialmente nelle aziende più grandi, dove possono essere in uso letteralmente centinaia di app.
• App diverse possono utilizzare protocolli SSO diversi. I tuoi dipendenti potrebbero dover utilizzare app che utilizzano un protocollo diverso da quello utilizzato dal provider di identità (IdP) della tua organizzazione. Ad esempio, se il tuo IdP utilizza il protocollo SAML, la tua soluzione SSO non supporterà le app che utilizzano OAuth.
• Nessun controllo sulle abitudini delle password degli utenti. Le distribuzioni SSO non forniscono alcuna visibilità sulle pratiche di sicurezza delle password errate. I dipendenti possono scegliere una password debole o precedentemente compromessa per il loro accesso SSO, oppure possono riutilizzare una password che stanno utilizzando su più account aggiuntivi. Potrebbero fare la stessa cosa per tutte le app che la tua distribuzione SSO non supporta. Possono anche condividere le proprie password con soggetti non autorizzati.
• Nessuna protezione per utenti o sessioni privilegiati. In genere, gli utenti devono immettere credenziali separate per accedere a sistemi e dati particolarmente sensibili, ma lo scopo dell'SSO è fornire agli utenti un pass per tutti gli accessi con un'unica autenticazione.

4 modi per colmare le lacune di sicurezza legate alla password lasciate da SSO

Nonostante questi rischi, le organizzazioni orientate alla sicurezza non dovrebbero rinunciare alle proprie implementazioni SSO. Nessuna soluzione di sicurezza è una panacea. Associando le proprie soluzioni SSO a tecnologie complementari, le organizzazioni possono colmare le lacune di sicurezza relative alle password pur mantenendo la produttività e la facilità di utilizzo di SSO.

#1. Implementa il controllo degli accessi basato sui ruoli (RBAC) con accesso con privilegi minimi per tutti gli utenti

Il principio del privilegio minimo, che impone agli utenti di accedere solo al livello minimo di privilegi di sistema per svolgere il proprio lavoro e non di più, è fondamentale per ridurre la potenziale superficie di attacco di un'organizzazione. Inserisci RBAC, che semplifica l'assegnazione e la gestione dei livelli di controllo degli accessi.

Per rendere più gestibili le assegnazioni dei ruoli RBAC, evitare di assegnare ruoli direttamente agli utenti. Invece, crea gruppi, assegna privilegi ai gruppi e aggiungi utenti ai gruppi di conseguenza. Oltre a ridurre al minimo il numero di assegnazioni di ruolo, questa pratica consente di risparmiare tempo se è necessario apportare una modifica ai privilegi per ogni utente all'interno di un gruppo. Assicurati che i tuoi gruppi siano riutilizzabili ed evita di creare troppi ruoli personalizzati.

#2. Implementare Privileged Access Management (PAM) con Privileged Session Management (PSM) per utenti con privilegi

A differenza di SSO, che si concentra sul rendere l'accesso il più semplice possibile, PAM si concentra sulla limitazione dell'accesso ai sistemi e ai dati più sensibili di un'azienda. Le organizzazioni utilizzano PAM per limitare e monitorare l'accesso ai loro sistemi più critici e sensibili. Gli utenti privilegiati sono in genere addetti ai lavori aziendali di alto livello, come amministratori IT e della sicurezza e dirigenti di livello dirigenziale, sebbene anche fornitori e partner affidabili possano rientrare in questa categoria.

PAM e PSM vanno di pari passo. Mentre PAM controlla l'accesso degli utenti alle risorse sensibili, PSM impedisce agli utenti con privilegi di abusare di tale accesso controllando, monitorando e registrando le sessioni degli utenti con privilegi. Il monitoraggio e la registrazione tipici di PSM sono molto granulari e includono sequenze di tasti, movimenti del mouse e schermate. Oltre a garantire la sicurezza, gli audit trail di PSM sono richiesti da diversi framework di conformità, tra cui HIPAA, PCI DSS, FISMA e SOX.

#3. Implementa l'autenticazione a più fattori su tutte le app e i servizi che la supportano

L'autenticazione a più fattori (2FA) è una delle difese più potenti contro le password compromesse. Anche se un criminale informatico compromette una password, non può utilizzarla senza il secondo fattore di autenticazione. 2FA protegge tutti gli utenti da quelli con l'accesso minimo ai sistemi fino agli utenti più privilegiati dell'azienda. Migliora l'affidabilità zero consentendo alle organizzazioni di autenticare le identità degli utenti.

Alcune organizzazioni esitano a implementare 2FA per paura che possa ostacolare la produttività costringendo i dipendenti a eseguire passaggi aggiuntivi per accedere. Questo problema può essere facilmente risolto associando 2FA a una moderna soluzione di sicurezza delle password che consente agli utenti di archiviare le proprie credenziali 2FA insieme alle proprie password .

#4. Implementa una piattaforma di sicurezza e crittografia delle password aziendali a livello aziendale

La sicurezza delle password e la piattaforma di crittografia consentono ai dipendenti di archiviare in modo sicuro tutte le proprie credenziali di accesso in un archivio crittografato, privato e centralizzato. Come SSO, gli utenti memorizzano solo una "password principale", che viene utilizzata per accedere a tutte le credenziali nel loro repository digitale.

A differenza di SSO, una buona piattaforma di crittografia e sicurezza delle password aziendali è progettata per funzionare con tutti i servizi e le app, comprese le app legacy; includono funzionalità aggiuntive, come generatori automatici di password complesse e strumenti di riempimento automatico. Offrono inoltre agli amministratori IT una visibilità completa sulle abitudini delle password degli utenti e applicano criteri di sicurezza delle password. Assicurati di distribuire una piattaforma di crittografia e sicurezza delle password di livello aziendale che si integri perfettamente con la tua distribuzione SSO esistente e fornisca supporto per RBAC, 2FA, auditing e reporting di eventi.

SSO pone rischi per la sicurezza solo se le organizzazioni lo vedono come una soluzione autonoma. Riconoscendo le lacune di sicurezza relative alla password insite nell'SSO e compensandole mediante l'implementazione di tecnologie complementari, come 2FA, RBAC, PAM/PSM e una piattaforma di sicurezza e crittografia delle password, le organizzazioni possono aumentare l'efficienza, migliorare l'esperienza dell'utente finale, e proteggersi dagli attacchi informatici legati alla password.

Scritto da Teresa Rotaar