มี SSO ไหม คุณยังต้องการการรักษาความปลอดภัยของรหัสผ่าน

SSO เป็นเครื่องมือเพิ่มประสิทธิภาพและความปลอดภัยที่ยอดเยี่ยม แต่ยังคงรักษาช่องว่างด้านความปลอดภัยที่เกี่ยวข้องกับรหัสผ่านไว้

โซลูชันการลงชื่อเพียงครั้งเดียว (SSO) ได้รับความนิยมเพิ่มขึ้นอย่างรวดเร็ว แม้กระทั่งก่อนที่การระบาดใหญ่ของโควิด-19 จะทำให้ระบบคลาวด์เร่งรีบอย่างบ้าคลั่ง ปัจจุบัน SSO ได้รับความนิยมมากกว่าที่เคย เนื่องจากความสะดวกและความปลอดภัยที่ให้องค์กรมีพนักงานแบบกระจาย ซึ่งรวมถึง:

• รหัสผ่านเดียวให้พนักงานจำ การกำจัด "ความล้าของรหัสผ่าน" เป็นหนึ่งในปัจจัยขับเคลื่อนที่ใหญ่ที่สุดสำหรับการปรับใช้ SSO แทนที่จะใช้รหัสผ่านที่แตกต่างกันสำหรับทุกๆ แอพและบริการ พนักงานต้องการเพียงจำรหัสผ่านการลงชื่อเพียงครั้งเดียวเท่านั้น
• รหัสผ่านเดียวให้ป้อนวันละครั้ง นอกจากไม่ต้องจำรหัสผ่านหลายอันแล้ว พนักงานก็ไม่จำเป็นต้องป้อนรหัสผ่านหลายอันตลอดวันทำงาน พวกเขาป้อนรหัสผ่าน SSO หนึ่งครั้งในช่วงเริ่มต้นวันทำงาน เพื่อลดเวลาในการพิมพ์รหัสผ่านตลอดทั้งวันทำงาน
• ตัดตั๋ว Help Desk ลงครึ่งหนึ่ง Gartner Group ประมาณการว่ารหัสผ่านรีเซ็ตบัญชีได้ถึง 50% ของตั๋ว Help Desk SSO สัญญาว่าจะขจัดตั๋วเหล่านี้ออกให้หมด ทำให้พนักงานฝ่ายสนับสนุนใช้เวลามากขึ้นในการช่วยเหลือผู้ใช้ปลายทางที่มีปัญหาที่ซับซ้อนมากขึ้น
• ปรับใช้การเข้าถึงข้อมูลประจำตัวและการจัดการ (IAM) ได้ง่ายขึ้น SSO ช่วยลดความซับซ้อนในการกำหนดค่าการพิสูจน์ตัวตนและการควบคุมการเข้าถึง ช่วยให้ปรับใช้โซลูชัน IAM ได้เร็วและง่ายขึ้น ตลอดจนเส้นทางที่เร็วขึ้นสู่สภาพแวดล้อมที่ไม่มีการเชื่อถือ
• การรายงานการปฏิบัติตามที่ง่ายขึ้น เฟรมเวิร์กการปฏิบัติตามข้อกำหนดทั่วไปจำนวนมากต้องการเส้นทางการตรวจสอบผู้ใช้สำหรับข้อมูลการลงชื่อเข้าใช้ของผู้ใช้ SSO ช่วยให้รวมข้อมูลนี้ในรายงานการปฏิบัติตามข้อกำหนดได้ง่ายขึ้น

ข้อบกพร่องของ SSO: ช่องว่างด้านความปลอดภัยที่เกี่ยวข้องกับรหัสผ่าน

จุดประสงค์ของ SSO คือทำให้การเข้าถึงทรัพยากรง่ายขึ้น นั่นยอดเยี่ยมสำหรับประสิทธิภาพการทำงาน แต่ไม่ใช่จากมุมมองด้านความปลอดภัย:

• รหัสผ่านเดียวเท่ากับความล้มเหลวเพียงจุดเดียว หากพนักงานทำรหัสผ่านหายหรือลืมรหัสผ่านสำหรับบัญชีเดียว พวกเขาจะถูกล็อกไม่ให้เข้าใช้บัญชีนั้น หากลืมรหัสผ่าน SSO จะถูกล็อกจากบัญชีทั้งหมด ยิ่งไปกว่านั้น หากอาชญากรไซเบอร์ได้รับรหัสผ่าน SSO พวกเขาสามารถเข้าสู่บัญชีที่เกี่ยวข้องกับงานของพนักงานทั้งหมดได้ Verizon ประมาณการว่ากว่า 80% ของการละเมิดข้อมูลที่ประสบความสำเร็จเป็นผลมาจากรหัสผ่านที่ถูกบุกรุก ซึ่งเป็นข้อเสียอย่างใหญ่หลวง
• แอปสายงานธุรกิจเดิม (LOB) ไม่รองรับ SSO แม้ว่าการระบาดของไวรัสโควิด-19 ได้เร่งความพยายามในการเปลี่ยนผ่านสู่ดิจิทัลเป็นเวลาหลายปี องค์กรส่วนใหญ่ยังคงใช้แอป LOB รุ่นเก่าอย่างน้อยสองสามแอปที่ไม่รองรับ SSO เพราะมันเก่ามาก การปรับปรุงให้ทันสมัยจึงไม่ใช่เรื่องจริง เพราะพวกเขาเชี่ยวชาญมาก การแทนที่พวกเขาก็ไม่สามารถทำได้เช่นกัน
• แอพที่ทันสมัยบางแอพไม่รองรับ SSO แอพรุ่นเก่าไม่ได้เป็นเพียงจุดยึดเท่านั้น แอพและบริการที่ทันสมัยจำนวนมากไม่รองรับ SSO โดยเฉพาะแอพเดสก์ท็อป เป็นเรื่องยากที่การปรับใช้ SSO ขององค์กรเพื่อให้ครอบคลุมแอปทั้งหมดที่พนักงานใช้ โดยเฉพาะอย่างยิ่งในองค์กรขนาดใหญ่ ซึ่งอาจมีการใช้แอปหลายร้อยแอป
• แอพที่แตกต่างกันอาจใช้โปรโตคอล SSO ที่แตกต่างกัน พนักงานของคุณอาจต้องใช้แอปที่ใช้โปรโตคอลที่แตกต่างจากที่ผู้ให้บริการข้อมูลประจำตัวขององค์กร (IdP) ใช้ ตัวอย่างเช่น หาก IdP ของคุณใช้โปรโตคอล SAML โซลูชัน SSO ของคุณจะไม่รองรับแอปที่ใช้ OAuth
• ไม่มีการควบคุมพฤติกรรมรหัสผ่านของผู้ใช้ การปรับใช้ SSO ไม่ได้ทำให้มองเห็นแนวทางปฏิบัติด้านความปลอดภัยของรหัสผ่านที่ไม่ถูกต้อง พนักงานอาจเลือกรหัสผ่านที่ไม่รัดกุมหรือถูกบุกรุกก่อนหน้านี้สำหรับการเข้าสู่ระบบ SSO ของตน หรืออาจใช้รหัสผ่านซ้ำที่ใช้กับบัญชีเพิ่มเติมหลายบัญชี พวกเขาอาจทำสิ่งเดียวกันกับแอปทั้งหมดที่การปรับใช้ SSO ของคุณไม่รองรับ พวกเขายังอาจแบ่งปันรหัสผ่านกับบุคคลที่ไม่ได้รับอนุญาต
• ไม่มีการป้องกันสำหรับผู้ใช้หรือเซสชันที่มีสิทธิพิเศษ โดยปกติ ผู้ใช้จะต้องป้อนข้อมูลประจำตัวแยกต่างหากเพื่อเข้าถึงโดยเฉพาะระบบและข้อมูลที่มีความละเอียดอ่อน แต่จุดประสงค์ของ SSO คือการให้สิทธิ์การเข้าถึงทั้งหมดแก่ผู้ใช้ด้วยการตรวจสอบสิทธิ์เพียงครั้งเดียว

4 วิธีในการเชื่อมช่องว่างความปลอดภัยที่เกี่ยวข้องกับรหัสผ่านที่ SSO . ทิ้งไว้

แม้จะมีความเสี่ยงเหล่านี้ องค์กรที่คำนึงถึงความปลอดภัยก็ไม่ควรละทิ้งการปรับใช้ SSO ของตน ไม่มีวิธีแก้ปัญหาด้านความปลอดภัยเป็นยาครอบจักรวาล ด้วยการจับคู่โซลูชัน SSO ของพวกเขากับเทคโนโลยีเสริม องค์กรสามารถเสริมช่องว่างด้านความปลอดภัยที่เกี่ยวข้องกับรหัสผ่านในขณะที่ยังคงประสิทธิภาพการทำงานและความสะดวกในการใช้ประโยชน์จาก SSO

#1. ใช้การควบคุมการเข้าถึงตามบทบาท (RBAC) ด้วยการเข้าถึงที่มีสิทธิ์น้อยที่สุดสำหรับผู้ใช้ทั้งหมด

หลักการของสิทธิพิเศษน้อยที่สุด ซึ่งกำหนดว่าผู้ใช้ควรมีสิทธิ์เข้าถึงระดับสิทธิ์ระบบขั้นต่ำเพื่อทำงานของตนเท่านั้น มีความสำคัญอย่างยิ่งต่อการลดพื้นผิวการโจมตีที่อาจเกิดขึ้นขององค์กร ป้อน RBAC ซึ่งช่วยลดความยุ่งยากในการมอบหมายและการจัดการระดับการควบคุมการเข้าถึง

เพื่อให้การมอบหมายบทบาท RBAC สามารถจัดการได้มากขึ้น หลีกเลี่ยงการกำหนดบทบาทให้กับผู้ใช้โดยตรง ให้สร้างกลุ่ม กำหนดสิทธิ์ให้กับกลุ่ม และเพิ่มผู้ใช้ในกลุ่มตามลำดับ นอกเหนือจากการลดจำนวนการกำหนดบทบาทแล้ว แนวทางปฏิบัตินี้ยังช่วยประหยัดเวลาหากจำเป็นต้องเปลี่ยนแปลงสิทธิ์สำหรับผู้ใช้ทุกคนภายในกลุ่ม ตรวจสอบให้แน่ใจว่ากลุ่มของคุณสามารถใช้ซ้ำได้ และหลีกเลี่ยงการสร้างบทบาทที่กำหนดเองมากเกินไป

#2. ใช้ Privileged Access Management (PAM) กับ Privileged Session Management (PSM) สำหรับผู้ใช้ที่มีสิทธิพิเศษ

ต่างจาก SSO ซึ่งมุ่งเน้นไปที่การทำให้การเข้าถึงง่ายที่สุด PAM มุ่งเน้นไปที่การจำกัดการเข้าถึงระบบและข้อมูลที่ละเอียดอ่อนที่สุดของบริษัท องค์กรต่างๆ ใช้ PAM เพื่อจำกัดและตรวจสอบการเข้าถึงระบบที่สำคัญและละเอียดอ่อนที่สุดของตน ผู้ใช้ที่ได้รับสิทธิพิเศษมักจะเป็นคนในระดับสูงของบริษัท เช่น ผู้ดูแลระบบไอทีและความปลอดภัย และผู้บริหารระดับ C แม้ว่าผู้ขายและคู่ค้าที่เชื่อถือได้อาจจัดอยู่ในหมวดหมู่นี้ด้วย

PAM และ PSM เป็นของคู่กัน ในขณะที่ PAM ควบคุมการเข้าถึงของผู้ใช้ในทรัพยากรที่มีความละเอียดอ่อน PSM จะป้องกันไม่ให้ผู้ใช้ที่มีสิทธิพิเศษใช้การเข้าถึงนั้นในทางที่ผิดโดยการควบคุม ตรวจสอบ และบันทึกเซสชันผู้ใช้ที่มีสิทธิพิเศษ การตรวจสอบและบันทึก PSM ทั่วไปนั้นละเอียดมากและรวมถึงการกดแป้นพิมพ์ การเคลื่อนไหวของเมาส์ และภาพหน้าจอ นอกเหนือจากการรับรองความปลอดภัยแล้ว เส้นทางการตรวจสอบ PSM ยังจำเป็นสำหรับเฟรมเวิร์กการปฏิบัติตามข้อกำหนดต่างๆ รวมถึง HIPAA, PCI DSS, FISMA และ SOX

#3. ใช้การตรวจสอบสิทธิ์แบบหลายปัจจัยกับแอพและบริการทั้งหมดที่รองรับ

การรับรองความถูกต้องด้วยหลายปัจจัย (2FA) เป็นหนึ่งในการป้องกันรหัสผ่านที่บุกรุกที่ทรงพลังที่สุด แม้ว่าอาชญากรไซเบอร์จะประนีประนอมรหัสผ่าน แต่ก็ไม่สามารถใช้งานได้หากไม่มีปัจจัยการตรวจสอบสิทธิ์ที่สอง 2FA ปกป้องผู้ใช้ทั้งหมดจากผู้ที่มีระบบน้อยที่สุดในการเข้าถึงผู้ใช้ที่มีสิทธิพิเศษมากที่สุดของบริษัท ช่วยเพิ่มความไว้วางใจเป็นศูนย์โดยอนุญาตให้องค์กรตรวจสอบตัวตนของผู้ใช้

บางองค์กรลังเลที่จะใช้ 2FA เนื่องจากกลัวว่าจะเป็นอุปสรรคต่อประสิทธิภาพการทำงานโดยการบังคับให้พนักงานทำตามขั้นตอนเพิ่มเติมเพื่อเข้าสู่ระบบ ปัญหานี้แก้ไขได้ง่ายด้วยการจับคู่ 2FA กับโซลูชันการรักษาความปลอดภัยด้วยรหัสผ่านที่ทันสมัย ​​ซึ่งช่วยให้ผู้ใช้สามารถจัดเก็บข้อมูลรับรอง 2FA ของตนพร้อมกับรหัสผ่านได้ .

#4. ปรับใช้การรักษาความปลอดภัยรหัสผ่านองค์กรและแพลตฟอร์มการเข้ารหัสทั่วทั้งบริษัท

แพลตฟอร์มการรักษาความปลอดภัยรหัสผ่านและการเข้ารหัสช่วยให้พนักงานสามารถจัดเก็บข้อมูลรับรองการเข้าสู่ระบบทั้งหมดของตนได้อย่างปลอดภัยในที่เก็บข้อมูลที่เข้ารหัสส่วนกลาง ส่วนตัว และเข้ารหัสเพียงแห่งเดียว เช่นเดียวกับ SSO ผู้ใช้จะจดจำ "รหัสผ่านหลัก" เพียงอันเดียว ซึ่งใช้ในการเข้าถึงข้อมูลประจำตัวทั้งหมดในที่เก็บข้อมูลดิจิทัลของตน

แพลตฟอร์มการรักษาความปลอดภัยและการเข้ารหัสรหัสผ่านสำหรับองค์กรที่ดีไม่เหมือนกับ SSO ที่ออกแบบมาเพื่อทำงานร่วมกับบริการและแอปทั้งหมด รวมถึงแอปรุ่นเก่า ซึ่งรวมถึงคุณลักษณะเพิ่มเติม เช่น ตัวสร้างรหัสผ่านที่รัดกุมอัตโนมัติและเครื่องมือป้อนอัตโนมัติ พวกเขายังให้ผู้ดูแลระบบไอทีมองเห็นพฤติกรรมการใช้รหัสผ่านของผู้ใช้อย่างสมบูรณ์และบังคับใช้นโยบายการรักษาความปลอดภัยของรหัสผ่าน ตรวจสอบให้แน่ใจว่าได้ปรับใช้แพลตฟอร์มการรักษาความปลอดภัยรหัสผ่านระดับองค์กรและการเข้ารหัสที่ผสานรวมกับการปรับใช้ SSO ที่มีอยู่ของคุณได้อย่างราบรื่นและให้การสนับสนุน RBAC, 2FA, การตรวจสอบ และการรายงานเหตุการณ์

SSO มีความเสี่ยงด้านความปลอดภัยต่อเมื่อองค์กรเห็นว่าเป็นโซลูชันแบบสแตนด์อโลนเท่านั้น โดยการยอมรับช่องว่างด้านความปลอดภัยที่เกี่ยวข้องกับรหัสผ่านที่มีอยู่ใน SSO และชดเชยช่องโหว่เหล่านี้โดยการนำเทคโนโลยีเสริมมาใช้ เช่น 2FA, RBAC, PAM/PSM และการรักษาความปลอดภัยรหัสผ่านและแพลตฟอร์มการเข้ารหัส องค์กรสามารถเพิ่มประสิทธิภาพ ปรับปรุงประสบการณ์ของผู้ใช้ปลายทาง และป้องกันตนเองจากการโจมตีทางไซเบอร์ที่เกี่ยวข้องกับรหัสผ่าน

เขียนโดย Teresa Rothaar