Единый вход (SSO) — лучшее средство от усталости от паролей?
Опубликовано: 2021-09-04Поскольку общее понимание важности кибербезопасности продолжает расти, предприятия совершенствуют и обновляют свои политики безопасности. Обновленные политики содержат различные правила и стандарты, разработанные для повышения устойчивости предприятий к кибератакам, в том числе правила доступа пользователей к бизнес-приложениям.
Уравновешивание проблем безопасности с сохранением производительности представляет собой проблему, решение которой может обеспечить вход в систему.
Проблема усталости паролей
Поскольку кибербезопасность стала все более серьезной проблемой для предприятий во всех отраслях, лица, принимающие решения в области информационной безопасности, осознали, что плохая гигиена паролей является распространенным источником киберриска. Учетные данные сотрудников, выполняющих вход на рабочие станции и бизнес-приложения, могут быть скомпрометированы из-за повторного использования слабых паролей в разных системах.
По сей день украденные учетные данные остаются постоянной причиной утечки данных. Фактически, утечка данных в 2020 году в отеле Marriot International была вызвана тем, что два сотрудника скомпрометировали свои учетные данные для входа в систему.
Решение для многих компаний состоит в том, чтобы обновить политики паролей, чтобы они требовали более сложных паролей с условиями минимальной длины, необходимостью использования определенных символов в паролях и предопределенными сроками действия. Эти политики паролей применялись с помощью служб каталогов, таких как Active Directory.
Современные сотрудники получают доступ к нескольким различным бизнес-приложениям для своей повседневной работы. Доступ к этим приложениям осуществляется через гибридную ИТ-среду как с локальными, так и с облачными приложениями. Одно исследование показало, что среднее количество приложений, используемых современным работником, составляет 9,39.
Непреднамеренным результатом все более надежных политик паролей для доступа ко всем этим ресурсам является усталость паролей. Поскольку сотрудники пытаются запоминать и управлять паролями для различных ресурсов, некоторые из следующих нежелательных действий снижают производительность:
- Сотрудники тратят слишком много времени, пытаясь запомнить пароли к разным системам
- Службы ИТ-поддержки легко перегружаются билетами на сброс пароля
- Даже если в бизнесе есть портал самообслуживания для сброса паролей, сотрудники тратят на него слишком много времени, потому что регулярно забывают пароли
Проблема усталости паролей представляет собой проблему согласования между производительностью и безопасностью. Кроме того, пользовательский опыт также негативно влияет на сотрудников и службы ИТ-поддержки.
Проблема усталости паролей обострилась во время пандемии, когда компаниям нужно было предоставить доступ к приложениям и ресурсам для своих недавно удаленных сотрудников. Чтобы решить эту проблему и повысить уровень безопасности без ущерба для производительности, многие компании переходят на единый вход.
Что такое единый вход?
Единый вход — это тип службы проверки подлинности, который позволяет пользователям входить во многие приложения, используя только один набор учетных данных для входа. Служба SSO обычно использует основанный на стандартах обмен токенами (Kerberos, SAML, OpenID) для обмена данными аутентификации между приложениями (поставщиками услуг) и поставщиком удостоверений. Узнайте подробнее о том, как именно работает единый вход.
SSO отслеживает свою историю до локальных служб каталогов, таких как Active Directory (AD). Было просто обеспечить доступ с единым входом к системам и приложениям Windows в пределах периметра локальной сети. Специально созданные решения, обеспечивающие технологию единого входа в локальной среде, были известны как корпоративный единый вход или единый вход для интрасети, и документы, в которых обсуждались такие решения, восходят к середине 1990-х годов.
По мере того, как веб-сервисы становились все более популярными, механизмы и решения на основе браузера становились необходимыми для SSO. Эти решения заполнили разрыв между AD и веб-приложениями, которые компании использовали чаще.
По мере того как лица, принимающие решения в области ИТ, начали вкладывать значительные средства в облачную инфраструктуру, потребность в гибридных развертываниях росла. Современная система единого входа требует аутентификации как в устаревших локальных приложениях, так и в облачных.
Преимущества единого входа
По своему определению SSO борется с проблемой усталости паролей, от которой страдают сотрудники. Конкретные преимущества единого входа включают в себя:
- Повышение производительности . Когда сотрудники больше не тратят время на запоминание и сброс паролей, они могут сосредоточиться на выполнении задач, которые приносят реальную пользу для бизнеса. Одно тематическое исследование в образовательном учреждении показало, что система SSO сэкономила 2500 часов времени.
- Улучшение взаимодействия с пользователем . Возможность одновременного входа в соответствующие бизнес-приложения и ресурсы также улучшает взаимодействие с пользователем. Взаимодействие с бизнес-технологиями становится более удобным и избавляет людей от стресса, что может повысить удовлетворенность их работой.
- Уменьшение нагрузки на службу поддержки : гораздо меньше запросов на сброс пароля приходится обрабатывать службам ИТ-поддержки. Сотрудники по-прежнему могут забыть свои пароли, но эта проблема становится гораздо реже.
- Сокращает небезопасное управление паролями . Когда людям необходимо запомнить несколько паролей для разных систем, могут возникнуть неправильные методы, такие как запись паролей на стикерах или сохранение настольных документов с записанными паролями.
Проблемы с единым входом
Политики паролей остаются важными
Предприятиям по-прежнему следует использовать разумные политики паролей, обеспечивающие надежные пароли для единого входа. Слабый пароль при отсутствии других средств проверки подлинности означает, что любая компрометация учетных данных дает доступ к нескольким ресурсам, а не к одному.
Видимость приложения необходима
Большинство компаний используют более 100 различных приложений в своих гибридных ИТ-средах, поскольку число специализированных облачных сервисов продолжает увеличиваться и обрабатывать различные сценарии использования. Видимость имеет решающее значение для всех приложений, чтобы обеспечить их интеграцию со службой единого входа. Если пользователи обнаружат, что им нужно снова начать запоминать несколько разных паролей, потому что определенные приложения были проигнорированы реализацией SSO, проблема усталости паролей повторяется.
Необходимы дополнительные методы аутентификации
SSO сам по себе без каких-либо других методов аутентификации увеличивает риски информационной безопасности. Для особо конфиденциальных приложений или данных жизненно важно использовать решения для проверки подлинности на основе рисков, которые могут контекстуально анализировать поведение пользователя и запрашивать другие категории доказательств для проверки личности до предоставления проверки подлинности (многофакторная проверка подлинности).
Будущее системы единого входа
Вполне вероятно, что в будущем SSO станет беспарольным, что будет означать, что при первоначальном входе в систему будет использоваться другой тип аутентификации пользователя, чем традиционная комбинация имени пользователя и пароля. Например, пользователи могут предоставить биометрический идентификатор, чтобы получить доступ ко всем необходимым бизнес-приложениям. Более комплексные реализации SSO обеспечат беспрепятственный доступ к любому ИТ-ресурсу, а не только к приложениям.
Примечание редактора: Ронан Махони — внештатный писатель, специализирующийся на вопросах кибербезопасности. Ему нравится разбивать сложные идеи и решения на увлекательные посты и статьи в блогах. Ему удобно писать о других областях технологий B2B, включая машинное обучение и анализ данных.
Есть какие-нибудь мысли по этому поводу? Дайте нам знать внизу в комментариях или перенесите обсуждение в наш Twitter или Facebook.