你有SSO吗？你仍然需要密码安全解决方案。

SSO是一种非常高效和安全的工具，但它也存在与密码相关的安全漏洞。

在COVID-19大流行病迫使人们争相转向云端之前，单点登录(SSO)解决方案已经迅速变得越来越受欢迎。现在，由于其为分布式劳动力组织提供便利和安全性所带来的好处，SSO比以往任何时候都更受欢迎，这些好处包括：

• 员工只需记住一个密码。消除“密码疲劳”是推动SSO采用的最重要动力之一。员工只需记住单点登录密码，而不是为每个应用和服务都设置不同的密码。
• 每天只需输入一次密码。除了不必记住多个密码外，员工在工作日内也不需要输入多个密码。他们只需在工作日开始时输入一次SSO密码，省去了在整个工作日输入密码的时间。
• 将帮助台工单减少一半。根据Gartner集团的估计，密码重置占帮助台工单的多达50%。SSO承诺几乎可以消除这些工单，使支持员工能够更多地花时间帮助终端用户解决更复杂的问题。
• 更容易部署身份访问和管理(IAM)。SSO降低了配置身份验证和访问控制的复杂性，使IAM解决方案的部署更快、更简单，同时还能更快地进入zero-trust环境。
• 更容易进行合规性报告。许多常见的合规性框架要求对用户登录数据进行用户审计跟踪。SSO使得将这些数据包含在合规性报告中变得更加容易。

SSO的不足之处：与密码相关的安全漏洞

SSO的目的是使访问资源变得更加容易。这对于提高生产力来说是很好的，但从安全的角度来看却不是那么好：

• 单一密码等同于单一故障点。如果员工丢失或忘记单个账户的密码，他们将被锁定在该账户外。如果他们忘记了SSO密码，他们将被锁定在所有账户外。更令人担忧的是，如果网络犯罪分子掌握了SSO密码，他们可以进入员工的所有工作相关账户。根据Verizon的估计，超过80%的成功数据泄露是由于密码被破解，这是一个巨大的缺点。
• 传统的业务线（LOB）应用不支持SSO。尽管COVID-19大流行加速了几年的数字化转型，但大多数组织仍然至少使用一些不支持SSO的传统LOB应用。由于这些应用太旧，现代化它们是不现实的；由于它们非常专业化，替换它们也不可行。
• 并不是所有的现代应用都支持SSO。传统应用不是唯一的问题。许多现代应用和服务也不支持SSO，特别是桌面应用。一个组织的SSO部署很少涵盖员工使用的所有应用程序，尤其是在大型企业中，可能使用数百个应用程序。
• 不同的应用程序可能使用不同的SSO协议。您的员工可能需要使用与您组织的身份提供者（IdP）使用的协议不同的应用程序。例如，如果您的IdP使用SAML协议，您的SSO解决方案将不支持使用OAuth的应用程序。
• 无法控制用户的密码习惯。SSO部署无法提供对糟糕的密码安全实践的任何可见性。员工可能会选择弱密码或以前被破解过的密码作为SSO登录密码，或者他们可能会重复使用他们在其他多个账户上使用的密码。他们可能对所有没有支持您的SSO部署的应用程序都采取同样的做法。他们还可能与未经授权的人分享他们的密码。
• 没有为特权用户或会话提供保护。通常，用户必须输入单独的凭据才能访问特别敏感的系统和数据，但SSO的目的是通过单一身份验证为用户提供全面访问权限。

通过4种方法弥合SSO留下的与密码相关的安全漏洞

尽管存在这些风险，注重安全的组织不应放弃他们的SSO部署。没有安全解决方案可以解决所有问题。通过将SSO解决方案与补充技术配对，组织可以弥补与密码相关的安全漏洞，同时保留SSO使用的生产力和便利性优势。

#1. 实施基于角色的访问控制（RBAC）并为所有用户实施最低特权访问

最小权限原则（即用户应只能访问完成工作所需的最低级别的系统权限）对于减少组织的潜在攻击面非常重要。角色基础访问控制（RBAC）简化了访问控制级别的分配和管理。

为了使RBAC角色分配更易于管理，避免直接为用户分配角色。相反，创建组，为组分配权限，并相应地添加用户到组中。除了最小化角色分配数量，这种做法还可以在需要对组中的每个用户进行权限更改时节省时间。确保您的组可重用，并避免创建过多的自定义角色。

#2. 为特权用户实施特权访问管理（PAM）并使用特权会话管理（PSM）

与SSO不同的是，PAM着重于限制访问公司最敏感的系统和数据，而不是让访问变得尽可能简单。组织使用PAM来限制和监控对其最关键和敏感系统的访问。特权用户通常是高级公司内部人员，如IT和安全管理员以及C级高管，尽管受信任的供应商和合作伙伴也可能属于此类别。

PAM和PSM是相辅相成的。虽然PAM控制用户对敏感资源的访问，但PSM通过控制、监控和记录特权用户会话，防止特权用户滥用访问权限。典型的PSM监控和记录非常细致，包括击键、鼠标移动和屏幕截图。除了确保安全性，PSM审计记录还需要符合包括