单点登录 (SSO) – 防止密码疲劳的最佳方法?

已发表: 2021-09-04

随着对网络安全重要性的普遍认识不断提高,企业不断完善和更新其安全策略。 更新后的政策包含各种规则和标准,旨在使企业对网络攻击更具弹性,包括有关用户如何访问业务应用程序的规则。

平衡安全问题和持续的生产力提出了一个挑战,登录可以提供解决方案。

密码疲劳问题

随着网络安全成为各行各业企业日益关注的紧迫问题,信息安全决策者意识到密码卫生差是网络风险的常见来源。 由于在不同系统中重复使用的弱密码,登录工作站和业务应用程序的员工的凭据可能会受到损害。

时至今日,被盗凭据仍然是数据泄露的长期原因。 事实上,万豪国际酒店 2020 年的数据泄露事件是由两名员工的登录凭据被盗造成的。

许多公司的解决方案是更新密码策略,以便他们需要更复杂的密码,并规定最小长度,需要在密码中使用某些字符,以及预定义的有效期。 这些密码策略是使用 Active Directory 等目录服务实施的。

现代员工在日常工作中访问多个不同的业务应用程序。 这些应用程序可在混合 IT 环境中访问,其中包含本地和基于云的应用程序。 一项研究发现,现代员工使用的应用程序平均数量为 9.39。

用于访问所有这些资源的日益强大的密码策略的意外结果是密码疲劳。 当员工试图记住和管理不同资源的密码时,以下一些不受欢迎的行为会降低工作效率:

  • 员工花费太多时间试图记住不同系统的密码
  • IT 帮助台很容易被密码重置票所淹没
  • 即使企业有用于重置密码的自助服务门户,员工也会花费太多时间使用它,因为他们经常忘记密码

密码疲劳问题代表了生产力和安全性之间的一致性问题。 此外,用户体验也会对员工和 IT 服务台产生负面影响。

在大流行期间,当企业需要为其新的远程员工提供对应用程序和资源的访问权限时,密码疲劳问题变得更加严重。 为了帮助解决这个问题并在不影响生产力的情况下提高安全性,许多企业正在转向单点登录。

什么是单点登录?

单点登录是一种身份验证服务,允许用户仅使用一组登录凭据登录到许多应用程序。 SSO 服务通常使用基于标准的令牌交换(Kerberos、SAML、OpenID)在应用程序(服务提供者)和身份提供者之间传递身份验证信息。 详细了解单点登录的工作原理。

SSO 将其历史追溯到本地目录服务,例如 Active Directory (AD)。 在本地网络边界范围内促进对 Windows 系统和应用程序的单点登录访问非常简单。 提供本地 SSO 技术的定制解决方案被称为企业 SSO 或 Intranet SSO,讨论此类解决方案的论文可以追溯到 1990 年代中期。

随着基于 Web 的服务开始变得越来越流行,基于浏览器的机制和解决方案开始成为 SSO 的必要条件。 这些解决方案填补了 AD 与公司更多使用的 Web 应用程序之间的空白。

随着 IT 决策者开始大力投资云基础架构,对混合部署的需求也在增长。 现代 SSO 需要跨传统的本地应用程序和基于云的应用程序进行身份验证。

单点登录的好处

根据其定义,SSO 解决了困扰员工的密码疲劳问题。 SSO 的具体好处包括:

  • 提高生产力:当员工不再浪费时间尝试记住和重置密码时,他们可以专注于完成能够带来实际业务价值的任务。 一个教育机构的案例研究发现,SSO 节省了 2,500 小时的时间。
  • 更好的用户体验:一次性登录相关业务应用程序和资源的能力也改善了用户体验。 与商业技术的交互对人们来说变得更加方便和无压力,这可以提高他们对工作的满意度。
  • 减少服务台负担:IT 服务台需要处理的密码重置请求要少得多。 员工仍然可以忘记他们的密码,但这个问题变得不那么频繁了。
  • 减少不安全的密码管理:当人们需要记住不同系统的多个密码时,可能会出现不良做法,例如在便利贴上写下密码或保存所有密码的桌面文档。

单点登录挑战

密码策略仍然很重要

企业仍应使用合理的密码策略,为 SSO 提供强密码。 缺少其他身份验证控制的弱密码意味着任何凭据泄露都可以访问多个资源而不是一个资源。

应用可见性是必要的

随着专业云服务不断激增并处理各种运营用例,大多数企业在其混合 IT 环境中使用超过 100 种不同的应用程序。 可见性对于所有应用程序都至关重要,以确保它们与 SSO 服务集成。 如果用户发现他们需要重新开始记住几个不同的密码,因为某些应用程序被 SSO 实施忽略了,密码疲劳问题就会重演。

需要互补的身份验证方法

没有任何其他身份验证方法的 SSO 本身会增加信息安全风险。 对于特别敏感的应用程序或数据,利用基于风险的身份验证解决方案至关重要,该解决方案可以根据上下文分析用户行为并请求其他类别的证据以在授予身份验证之前验证身份(多因素身份验证)。

SSO 的未来

未来的 SSO 很可能会变得无密码,这意味着初始登录使用不同于传统用户名-密码组合的用户身份验证类型。 例如,用户可以提供生物识别标识符来访问他们需要的所有业务应用程序。 更全面的 SSO 实施将实现对任何 IT 资源的无缝访问,而不仅仅是应用程序。

编者注: Ronan Mahony 是一位自由撰稿人,主要关注网络安全主题。 他喜欢将复杂的想法和解决方案分解成引人入胜的博客文章和文章。 他擅长撰写有关 B2B 技术其他领域的文章,包括机器学习和数据分析。

对此有什么想法吗? 在下面的评论中让我们知道,或者将讨论带到我们的 Twitter 或 Facebook。

编辑推荐:

  • 黑客现在有专门的软件可以帮助他们侵入 Ring 安全摄像头
  • 本月你应该玩的五款最佳网络游戏
  • 学习管理系统的五个好处
  • 哦,太好了,一些 Android 应用程序正在窃取 Facebook 密码