你有SSO吗?你仍然需要密码安全解决方案。

SSO是一种非常高效和安全的工具,但它也存在与密码相关的安全漏洞。

在COVID-19大流行病迫使人们争相转向云端之前,单点登录(SSO)解决方案已经迅速变得越来越受欢迎。现在,由于其为分布式劳动力组织提供便利和安全性所带来的好处,SSO比以往任何时候都更受欢迎,这些好处包括:

  • 员工只需记住一个密码。消除“密码疲劳”是推动SSO采用的最重要动力之一。员工只需记住单点登录密码,而不是为每个应用和服务都设置不同的密码。
  • 每天只需输入一次密码。除了不必记住多个密码外,员工在工作日内也不需要输入多个密码。他们只需在工作日开始时输入一次SSO密码,省去了在整个工作日输入密码的时间。
  • 将帮助台工单减少一半。根据Gartner集团的估计,密码重置占帮助台工单的多达50%。SSO承诺几乎可以消除这些工单,使支持员工能够更多地花时间帮助终端用户解决更复杂的问题。
  • 更容易部署身份访问和管理(IAM)。SSO降低了配置身份验证和访问控制的复杂性,使IAM解决方案的部署更快、更简单,同时还能更快地进入zero-trust环境。
  • 更容易进行合规性报告。许多常见的合规性框架要求对用户登录数据进行用户审计跟踪。SSO使得将这些数据包含在合规性报告中变得更加容易。

SSO的不足之处:与密码相关的安全漏洞

SSO的目的是使访问资源变得更加容易。这对于提高生产力来说是很好的,但从安全的角度来看却不是那么好:

  • 单一密码等同于单一故障点。如果员工丢失或忘记单个账户的密码,他们将被锁定在该账户外。如果他们忘记了SSO密码,他们将被锁定在所有账户外。更令人担忧的是,如果网络犯罪分子掌握了SSO密码,他们可以进入员工的所有工作相关账户。根据Verizon的估计,超过80%的成功数据泄露是由于密码被破解,这是一个巨大的缺点。
  • 传统的业务线(LOB)应用不支持SSO。尽管COVID-19大流行加速了几年的数字化转型,但大多数组织仍然至少使用一些不支持SSO的传统LOB应用。由于这些应用太旧,现代化它们是不现实的;由于它们非常专业化,替换它们也不可行。
  • 并不是所有的现代应用都支持SSO。传统应用不是唯一的问题。许多现代应用和服务也不支持SSO,特别是桌面应用。一个组织的SSO部署很少涵盖员工使用的所有应用程序,尤其是在大型企业中,可能使用数百个应用程序。
  • 不同的应用程序可能使用不同的SSO协议。您的员工可能需要使用与您组织的身份提供者(IdP)使用的协议不同的应用程序。例如,如果您的IdP使用SAML协议,您的SSO解决方案将不支持使用OAuth的应用程序。
  • 无法控制用户的密码习惯。SSO部署无法提供对糟糕的密码安全实践的任何可见性。员工可能会选择弱密码或以前被破解过的密码作为SSO登录密码,或者他们可能会重复使用他们在其他多个账户上使用的密码。他们可能对所有没有支持您的SSO部署的应用程序都采取同样的做法。他们还可能与未经授权的人分享他们的密码。
  • 没有为特权用户或会话提供保护。通常,用户必须输入单独的凭据才能访问特别敏感的系统和数据,但SSO的目的是通过单一身份验证为用户提供全面访问权限。

通过4种方法弥合SSO留下的与密码相关的安全漏洞

尽管存在这些风险,注重安全的组织不应放弃他们的SSO部署。没有安全解决方案可以解决所有问题。通过将SSO解决方案与补充技术配对,组织可以弥补与密码相关的安全漏洞,同时保留SSO使用的生产力和便利性优势。

#1. 实施基于角色的访问控制(RBAC)并为所有用户实施最低特权访问

最小权限原则(即用户应只能访问完成工作所需的最低级别的系统权限)对于减少组织的潜在攻击面非常重要。角色基础访问控制(RBAC)简化了访问控制级别的分配和管理。

为了使RBAC角色分配更易于管理,避免直接为用户分配角色。相反,创建组,为组分配权限,并相应地添加用户到组中。除了最小化角色分配数量,这种做法还可以在需要对组中的每个用户进行权限更改时节省时间。确保您的组可重用,并避免创建过多的自定义角色。

#2. 为特权用户实施特权访问管理(PAM)并使用特权会话管理(PSM)

与SSO不同的是,PAM着重于限制访问公司最敏感的系统和数据,而不是让访问变得尽可能简单。组织使用PAM来限制和监控对其最关键和敏感系统的访问。特权用户通常是高级公司内部人员,如IT和安全管理员以及C级高管,尽管受信任的供应商和合作伙伴也可能属于此类别。

PAM和PSM是相辅相成的。虽然PAM控制用户对敏感资源的访问,但PSM通过控制、监控和记录特权用户会话,防止特权用户滥用访问权限。典型的PSM监控和记录非常细致,包括击键、鼠标移动和屏幕截图。除了确保安全性,PSM审计记录还需要符合包括

类似文章