有單點登錄嗎? 您仍然需要密碼安全

已發表: 2021-04-16

SSO 是一種出色的生產力和安全工具,但它留下了與密碼相關的安全漏洞。

甚至在 COVID-19 大流行促使人們瘋狂湧入雲之前,單點登錄 (SSO) 解決方案就已迅速流行起來。 現在,SSO 比以往任何時候都更受歡迎,因為它為組織提供了分佈式勞動力的便利和安全優勢,包括:

  • 員工只需記住一個密碼。 消除“密碼疲勞”是採用 SSO 的最大驅動因素之一。 員工只需記住他們的單點登錄密碼,而不是為每個應用程序和服務設置不同的密碼。
  • 只需輸入一個密碼,每天一次。 除了不必記住多個密碼之外,員工也不需要在整個工作日輸入多個密碼。 他們在工作日開始時輸入一次 SSO 密碼,從而避免在整個工作日輸入密碼浪費時間。
  • 將服務台票減半。 Gartner Group 估計,密碼重置佔服務台故障單的比例高達 50%。 SSO 承諾幾乎消除這些票證,使支持員工能夠花更多時間幫助最終用戶解決更複雜的問題。
  • 更輕鬆地部署身份訪問和管理 (IAM)。 SSO 降低了配置身份驗證和訪問控制的複雜性,實現了更快、更簡單的 IAM 解決方案部署,以及通往零信任環境的更快路徑。
  • 更輕鬆的合規報告。 許多常見的合規性框架要求對用戶登錄數據進行用戶審計跟踪。 SSO 可以更輕鬆地將此數據包含在合規性報告中。

SSO 的缺點:與密碼相關的安全漏洞

SSO 的目的是使訪問資源更容易。 這對生產力很有好處,但從安全角度來看則不然:

  • 單個密碼等同於單點故障。 如果員工丟失或忘記了單個帳戶的密碼,他們將被鎖定在該帳戶之外。 如果他們忘記了 SSO 密碼,他們就會被鎖定在所有帳戶之外。 更令人擔憂的是,如果網絡犯罪分子獲得了 SSO 密碼,他們就可以進入該員工的所有與工作相關的帳戶。 Verizon 估計,超過 80% 的成功數據洩露是由於密碼洩露造成的,這是一個巨大的缺點。
  • 舊的業務線 (LOB) 應用程序不支持 SSO。 儘管 COVID-19 大流行使數字化轉型工作加速了幾年,但大多數組織仍然至少使用一些不支持 SSO 的舊 LOB 應用程序。 因為它們太舊了,對它們進行現代化改造是不現實的。 因為它們是如此高度專業化,替換它們也不可行。
  • 並非所有現代應用程序都支持 SSO。 遺留應用程序並不是唯一的癥結所在。 許多現代應用程序和服務也不支持 SSO,尤其是桌面應用程序。 組織的 SSO 部署很少涵蓋其員工使用的所有應用程序,尤其是在可能使用數百個應用程序的大型企業中。
  • 不同的應用程序可能使用不同的 SSO 協議。 您的員工可能需要使用與您組織的身份提供商 (IdP) 使用的協議不同的應用程序。 例如,如果您的 IdP 使用 SAML 協議,則您的 SSO 解決方案將不支持使用 OAuth 的應用程序。
  • 無法控制用戶密碼習慣。 SSO 部署不提供對不良密碼安全實踐的任何可見性。 員工可能會為他們的 SSO 登錄選擇一個弱密碼或以前洩露的密碼,或者他們可能會重複使用他們在多個其他帳戶上使用的密碼。 它們可能對您的 SSO 部署不支持的所有應用程序執行相同的操作。 他們還可能與未經授權的方共享他們的密碼。
  • 沒有對特權用戶或會話的保護。 通常,用戶必須輸入單獨的憑據才能訪問特別敏感的系統和數據,但 SSO 的目的是通過單一身份驗證為用戶提供所有訪問權限。

彌補 SSO 留下的與密碼相關的安全漏洞的 4 種方法

密碼解密

儘管存在這些風險,但具有安全意識的組織不應放棄其 SSO 部署。 沒有任何安全解決方案是萬能的。 通過將他們的 SSO 解決方案與互補技術配對,組織可以彌補與密碼相關的安全漏洞,同時保持 SSO 使用優勢的生產力和易用性。

#1. 實施基於角色的訪問控制 (RBAC),為所有用戶提供最低權限

最小特權原則要求用戶只能訪問最低級別的系統特權來完成他們的工作,而不能更多,這對於減少組織的潛在攻擊面至關重要。 進入 RBAC,它簡化了訪問控制級別的分配和管理。

為了使 RBAC 角色分配更易於管理,請避免將角色直接分配給用戶。 相反,創建組,為組分配權限,並相應地將用戶添加到組中。 除了最大限度地減少角色分配的數量之外,如果需要對組內的每個用戶進行權限更改,這種做法還可以節省時間。 確保您的組可重複使用,並避免創建過多的自定義角色。

#2. 為特權用戶實施具有特權會話管理 (PSM) 的特權訪問管理 (PAM)

與 SSO 側重於使訪問盡可能簡單不同,PAM 側重於限制對公司最敏感系統和數據的訪問。 組織使用 PAM 來限制和監控對其最關鍵和最敏感系統的訪問。 特權用戶通常是高級公司內部人員,例如 IT 和安全管理員以及 C 級管理人員,但受信任的供應商和合作夥伴也可能屬於這一類。

PAM 和 PSM 齊頭並進。 PAM 控制用戶對敏感資源的訪問,而 PSM 通過控制、監視和記錄特權用戶會話來防止特權用戶濫用該訪問。 典型的 PSM 監控和記錄非常精細,包括擊鍵、鼠標移動和屏幕截圖。 除了確保安全性之外,多個合規性框架(包括 HIPAA、PCI DSS、FISMA 和 SOX)還需要 PSM 審計跟踪。

#3. 在支持它的所有應用程序和服務上實施多因素身份驗證

多因素身份驗證 (2FA) 是抵禦密碼洩露的最強大的防禦措施之一。 即使網絡犯罪分子洩露了密碼,如果沒有第二個身份驗證因素,他們也無法使用它。 2FA 保護所有用戶免受具有最少系統訪問權限的用戶對公司最高特權用戶的影響。 它通過允許組織驗證用戶身份來增強零信任。

一些組織不願實施 2FA,因為擔心它會迫使員工執行額外的登錄步驟,從而阻礙生產力。通過將 2FA 與現代密碼安全解決方案配對,使用戶能夠將其 2FA 憑據與密碼一起存儲,可以輕鬆解決此問題.

#4. 在全公司範圍內部署企業密碼安全和加密平台

密碼安全和加密平台使員工能夠將所有登錄憑據安全地存儲在一個集中的、私有的、加密的存儲庫中。 與 SSO 一樣,用戶只記住一個“主密碼”,用於訪問其數字存儲庫中的所有憑據。

與 SSO 不同的是,良好的企業密碼安全和加密平台旨在與所有服務和應用程序(包括遺留應用程序)配合使用; 它們包括附加功能,例如自動強密碼生成器和自動填充工具。 它們還使 IT 管理員能夠全面了解用戶密碼習慣並實施密碼安全策略。 確保部署企業級密碼安全和加密平台,與您現有的 SSO 部署無縫集成,並為 RBAC、2FA、審計和事件報告提供支持。

僅當組織將其視為獨立的解決方案時,SSO 才會帶來安全風險。 通過承認 SSO 中固有的與密碼相關的安全漏洞並通過實施補充技術(例如 2FA、RBAC、PAM/PSM 以及密碼安全和加密平台)來彌補這些漏洞,組織可以提高效率,改善最終用戶體驗,並保護自己免受與密碼相關的網絡攻擊。

由特蕾莎·羅塔爾 (Teresa Rothaar) 編劇