Co to jest logowanie jednokrotne w sieci Web i jak to działa?

Przeciętny użytkownik biznesowy, według Security Magazine, zarządza 191 hasłami do użytku profesjonalnego i dziesiątkami innych haseł do użytku prywatnego. Organizacja zatrudniająca 50 000 pracowników może mieć nawet 10 milionów haseł używanych przez swoich pracowników. Przy tak wielu hasłach naruszenia bezpieczeństwa, które rozprzestrzeniają się w wyniku cyberataków, pochodzą głównie z luk w zabezpieczeniach powodowanych przez hasła.

Zagrożenia wynikają z używanych haseł, które są zbyt proste, łatwe do odgadnięcia, używane w więcej niż jednym systemie i nie zmieniane z wystarczającą częstotliwością. Najlepsze praktyki w zakresie bezpieczeństwa obejmują nieużywanie tego samego hasła w wielu systemach. Większość profesjonalistów zna tę zasadę. Mimo to 61% przeciętnych użytkowników biznesowych przyznaje, że wszędzie używa tego samego hasła.

Innym problemem związanym z tym nadmiarem haseł jest to, że pracownicy marnują ogromną ilość czasu na wpisywanie haseł.

Jednym z rozwiązań problemu z zarządzaniem hasłami jest wyeliminowanie konieczności używania ich tak wielu. Zamiast używać grupy haseł w celu uzyskania dostępu do różnych usług online, można użyć scentralizowanej metody uwierzytelniania, która pochodzi z internetowego systemu pojedynczego logowania (Web SSO).

Co to jest logowanie jednokrotne w sieci?

System web SSO umożliwia użytkownikowi logowanie się przy użyciu usługi sieciowej SSO przy użyciu jednego zestawu danych uwierzytelniających do uwierzytelniania, którymi są unikalna nazwa użytkownika i hasło. Następnie uwierzytelnianie to umożliwia im dostęp do wielu innych aplikacji internetowych i witryn internetowych chronionych hasłem.

Usługi online i witryny internetowe, które umożliwiają uwierzytelnianie SSO, polegają na zaufanym dostawcy zewnętrznym w celu weryfikacji identyfikacji użytkowników.

Jak działa jednokrotne logowanie w sieci Web?

Internetowy system jednokrotnego logowania opiera się na relacji zaufania między systemami online i witrynami internetowymi.

Oto kroki, które są podejmowane przez systemy SSO w sieci Web w celu uwierzytelnienia, gdy użytkownik loguje się do usługi online lub witryny chronionej hasłem:

1. Sprawdź logowanie : Pierwszym krokiem jest sprawdzenie, czy użytkownik jest już zalogowany w systemie uwierzytelniania. Jeśli użytkownik jest zalogowany, dostęp jest natychmiast przyznawany. Jeśli nie, użytkownik jest kierowany do systemu uwierzytelniania, aby się zalogować.
2. Logowanie użytkownika : w przypadku każdej sesji użytkownik musi najpierw zalogować się do systemu uwierzytelniania przy użyciu unikalnej nazwy użytkownika i hasła. System uwierzytelniania wykorzystuje token dla sesji, który obowiązuje do momentu wylogowania użytkownika.
3. Potwierdzenie uwierzytelniania : Po przeprowadzeniu procesu uwierzytelniania informacje uwierzytelniania są przekazywane do usługi sieciowej lub witryny internetowej żądającej weryfikacji użytkownika.

Web SSO a przechowywanie haseł

Web SSO różni się od posiadania zabezpieczonego skarbca różnych haseł do różnych usług online. Magazyn haseł chroni wiele haseł za pomocą jednej nazwy użytkownika i hasła. Jednak za każdym razem, gdy użytkownik przechodzi do nowej usługi online, wymaga to zalogowania się do usługi. Nawet jeśli pola formularza są automatycznie wypełniane z magazynu haseł, nadal potrzebny jest proces logowania.

Dzięki funkcji logowania jednokrotnego w sieci Web po uwierzytelnieniu użytkownika nie trzeba logować się do żadnej usługi sieciowej korzystającej z tego systemu uwierzytelniania. Nazywa się to procesem uwierzytelniania „zaloguj się raz/użyj wszystkiego”.

Tworzenie rozwiązania do pojedynczego logowania od podstaw

W przypadku niektórych zastosowań możliwe jest stworzenie od podstaw prostego rozwiązania do pojedynczego logowania. Przykład kodu źródłowego wykorzystującego Javę jest podany na codeburst.io dla tych, którzy są skłonni wypróbować tę metodę. Działa za pomocą tokenów. Token to zestaw losowych i unikalnych znaków stworzonych do jednorazowego użytku, które są trudne do odgadnięcia.

Logowanie przez użytkownika w systemie web SSO tworzy nową sesję i globalny token uwierzytelniania. Ten token jest przekazywany użytkownikowi. Gdy ten użytkownik przechodzi do usługi sieci Web, która wymaga logowania, usługa sieci Web pobiera kopię tokenu globalnego od użytkownika, a następnie sprawdza na serwerze SSO, czy użytkownik jest uwierzytelniony.

Jeżeli użytkownik zalogował się już do systemu SSO, token jest weryfikowany jako autentyczny przez serwer SSO, który zwraca do serwisu kolejny token z danymi użytkownika. Nazywa się to tokenem lokalnym. Wymiana tokenów odbywa się automatycznie w tle, bez udziału użytkownika.

Popularne rozwiązania do jednokrotnego logowania w witrynach

Dla bardziej zaawansowanych zastosowań dostępnych jest wiele solidnych rozwiązań pojedynczego logowania. Uwierzytelnianie przy użyciu rozwiązań logowania jednokrotnego w witrynie internetowej obejmuje te popularne internetowe systemy SSO sprawdzone przez firmę Capterra:

• LastPass
• ADSelfService Plus
• Chmura dostępu nowej generacji
• Jednokrotne logowanie SAP
• JumpCloud DaaS
• OneSign
• Bluek Enterprise
• Bezpieczne uwierzytelnianie
• Profil logowania jednokrotnego w przeglądarce internetowej SAML
• OpenID

Korzyści z logowania jednokrotnego w sieci

Jednokrotne logowanie w sieci Web jest przydatne, ponieważ jest wygodne. Jest łatwiej, szybciej, a prośby o pomoc dotyczące hasła są zmniejszone. Użytkownicy nie muszą pamiętać wielu haseł i nie muszą już logować się do każdej usługi internetowej z osobna.

Popularny przykład internetowego logowania jednokrotnego jest dostępny dla każdego posiadacza konta Google Gmail. Po jednokrotnym zalogowaniu się do Gmaila ci użytkownicy uzyskują dostęp do wszystkich produktów Google, które są udostępniane użytkownikowi bez konieczności ponownego logowania do czasu wylogowania się z konta Gmail. Otwarcie Gmaila umożliwia tym użytkownikom natychmiastowy dostęp do Dysku Google, Zdjęć Google, Aplikacji Google i spersonalizowanej wersji YouTube.

Dzięki Web SSO czas, który w przeciwnym razie zostałby stracony na logowanie się do różnych usług, jest odzyskiwany. W przypadku usług internetowych skargi dotyczące problemów z hasłami są praktycznie wyeliminowane. Proces łączenia się z usługami online działa sprawnie na wszystkich urządzeniach, w tym mobilnym, co poprawia produktywność.

Zarządzanie dostępem do tożsamości w całym przedsiębiorstwie

Logowanie jednokrotne oparte na sieci Web może być używane przez dużą organizację do uwierzytelniania. Web SSO pozwala użytkownikowi na jednokrotne logowanie, aby uzyskać dostęp do prywatnych danych firmowych i systemów sieciowych, a także korzystać z zasobów online dostarczanych przez inne podmioty, które akceptują te same protokoły uwierzytelniania.

Integracja SSO z popularnymi usługami baz internetowych

Zewnętrzne usługi pojedynczej rejestracji/logowania oferują integrację z wieloma popularnymi aplikacjami internetowymi, takimi jak Dropbox, Microsoft Azure Active Directory, New Relic, Salesforce, SharePoint, Slack, Zendesk i wieloma innymi.

Facebook i Google oferują integrację SSO z tysiącami systemów internetowych. Za każdym razem, gdy użytkownik chce zarejestrować się w nowej usłudze, która ma tę możliwość integracji SSO, ekran rejestracji/logowania będzie oferować proces logowania przy użyciu informacji z Facebook SSO, Google SSO lub non-SSO opcja, używając konta e-mail użytkownika jako nazwy użytkownika i hasła wybranego przez użytkownika.

Integracja Web SSO z usługami w chmurze

Usługi w chmurze mają swoje metody zarządzania dostępem użytkowników do chmury i mogą również akceptować uwierzytelnianie z systemów innych firm. Na przykład Amazon Web Services (AWS), który jest największym dostawcą usług w chmurze na świecie, oferuje swój system zarządzania dostępem do tożsamości w ramach AWS i umożliwia uwierzytelnianie użytkowników przez systemy stron trzecich.

Połączenie nawiązywane z systemami innych firm jest realizowane przez złącze AWS IAM Authenticator. Ta funkcja pozwala administratorom systemu wybierać spośród wielu usług, które zapewniają SSO w sieci, takich jak połączenie nawiązywane z Amazon EKS z Kubernetesem o otwartym kodzie źródłowym lub Github.

Zagrożenia bezpieczeństwa związane z jednokrotnym logowaniem w sieci Web

Istnieją narzędzia poprawiające bezpieczeństwo IAM, które pomagają przedsiębiorstwom zarządzać ryzykiem. Logowanie jednokrotne w sieci Web zmniejsza pewne ryzyko, jednocześnie zwiększając inne.

Na przykład ataki phishingowe są mniej skuteczne, ponieważ gdy użytkownik jest oszukiwany przez fałszywą kopię strony internetowej, nie loguje się, podając nazwę użytkownika i hasło. Jeśli witryna jest fałszywa, nie jest zaufana przez serwer SSO i nie otrzymuje lokalnego tokena sesji, jeśli próbuje przesłać globalny token użytkownika, aby go zażądać. W takim przypadku logowanie z fałszywej strony automatycznie się nie powiedzie, co chroni użytkownika przed oszukaniem.

Zwiększone ryzyko może wynikać z posiadania jednej nazwy użytkownika i hasła do systemu uwierzytelniania SSO. Te poufne dane muszą być bardzo dobrze chronione, ponieważ jeśli zostaną skradzione, mogą zostać wykorzystane do zalogowania się do wielu usług online.

Strategie zabezpieczeń oparte na zasadzie zerowego zaufania, takie jak uwierzytelnianie wieloskładnikowe, automatyczne resetowanie haseł, wymagające złożonych haseł, które są różne dla każdego resetowania hasła, oraz kontrola dostępu do urządzeń są pomocne w zwiększeniu bezpieczeństwa systemu SSO

Wniosek

Web SSO jest bardzo wygodne i szeroko stosowane. Jednak wszystkie systemy logowania jednokrotnego w sieci Web nie są tworzone jednakowo. Staranny wybór dostawcy uwierzytelniania SSO jest pierwszą zasadą korzystania z tego typu uwierzytelniania. Każde naruszenie danych tej strony trzeciej może ujawnić dane logowania, które mogą uzyskać dostęp do wielu systemów online, potencjalnie powodując poważne szkody.

Zachęcamy dyrektorów ds. technologii i administratorów IT do przeprowadzania regularnych przeglądów bezpieczeństwa IT swoich procedur uwierzytelniania SSO oraz do stosowania strategii zerowego zaufania. Kompleksowy przegląd bezpieczeństwa obejmuje dogłębną ocenę bezpieczeństwa wszelkich stron trzecich, które świadczą usługi uwierzytelniania.