單點登錄 (SSO) – 防止密碼疲勞的最佳方法?

已發表: 2021-09-04

隨著對網絡安全重要性的普遍認識不斷提高,企業不斷完善和更新其安全策略。 更新後的政策包含各種規則和標準,旨在使企業對網絡攻擊更具彈性,包括有關用戶如何訪問業務應用程序的規則。

平衡安全問題和持續的生產力提出了一個挑戰,登錄可以提供解決方案。

密碼疲勞問題

隨著網絡安全成為各行各業企業日益關注的緊迫問題,信息安全決策者意識到密碼衛生差是網絡風險的常見來源。 由於在不同系統中重複使用的弱密碼,登錄工作站和業務應用程序的員工的憑據可能會受到損害。

時至今日,被盜憑據仍然是數據洩露的長期原因。 事實上,萬豪國際酒店 2020 年的數據洩露事件是由兩名員工的登錄憑據被盜造成的。

許多公司的解決方案是更新密碼策略,以便他們需要具有最小長度規定的更複雜的密碼,需要在密碼中使用某些字符以及預定義的有效期。 這些密碼策略是使用 Active Directory 等目錄服務實施的。

現代員工在日常工作中訪問多個不同的業務應用程序。 這些應用程序可在混合 IT 環境中訪問,其中包含本地和基於雲的應用程序。 一項研究發現,現代員工使用的應用程序平均數量為 9.39。

用於訪問所有這些資源的日益強大的密碼策略的意外結果是密碼疲勞。 當員工試圖記住和管理不同資源的密碼時,以下一些不受歡迎的行為會降低工作效率:

  • 員工花費太多時間試圖記住不同系統的密碼
  • IT 幫助台很容易被密碼重置票所淹沒
  • 即使企業有用於重置密碼的自助服務門戶,員工也會花費太多時間使用它,因為他們經常忘記密碼

密碼疲勞問題代表了生產力和安全性之間的一致性問題。 此外,用戶體驗也會對員工和 IT 服務台產生負面影響。

在大流行期間,當企業需要為其新的遠程員工提供對應用程序和資源的訪問權限時,密碼疲勞問題變得更加嚴重。 為了幫助解決這個問題並在不影響生產力的情況下提高安全性,許多企業正在轉向單點登錄。

什麼是單點登錄?

單點登錄是一種身份驗證服務,允許用戶僅使用一組登錄憑據登錄到許多應用程序。 SSO 服務通常使用基於標準的令牌交換(Kerberos、SAML、OpenID)在應用程序(服務提供者)和身份提供者之間傳遞身份驗證信息。 詳細了解單點登錄的工作原理。

SSO 將其歷史追溯到本地目錄服務,例如 Active Directory (AD)。 在本地網絡邊界範圍內促進對 Windows 系統和應用程序的單點登錄訪問非常簡單。 提供本地 SSO 技術的定制解決方案被稱為企業 SSO 或 Intranet SSO,討論此類解決方案的論文可以追溯到 1990 年代中期。

隨著基於 Web 的服務開始變得越來越流行,基於瀏覽器的機制和解決方案開始成為 SSO 的必要條件。 這些解決方案填補了 AD 與公司更多使用的 Web 應用程序之間的空白。

隨著 IT 決策者開始大力投資雲基礎架構,對混合部署的需求也在增長。 現代 SSO 需要跨傳統的本地應用程序和基於雲的應用程序進行身份驗證。

單點登錄的好處

根據其定義,SSO 解決了困擾員工的密碼疲勞問題。 SSO 的具體好處包括:

  • 提高生產力:當員工不再浪費時間嘗試記住和重置密碼時,他們可以專注於完成能夠帶來實際業務價值的任務。 一個教育機構的案例研究發現,SSO 節省了 2,500 小時的時間。
  • 更好的用戶體驗:一次性登錄相關業務應用程序和資源的能力也改善了用戶體驗。 與商業技術的交互對人們來說變得更加方便和無壓力,這可以提高他們對工作的滿意度。
  • 減少服務台負擔:IT 服務台需要處理的密碼重置請求要少得多。 員工仍然可以忘記他們的密碼,但這個問題變得不那麼頻繁了。
  • 減少不安全的密碼管理:當人們需要記住不同系統的多個密碼時,可能會出現不良做法,例如在便利貼上寫下密碼或保存所有密碼的桌面文檔。

單點登錄挑戰

密碼策略仍然很重要

企業仍應使用合理的密碼策略,為 SSO 提供強密碼。 缺少其他身份驗證控制的弱密碼意味著任何憑據洩露都可以訪問多個資源而不是一個資源。

應用可見性是必要的

隨著專業雲服務不斷激增並處理各種運營用例,大多數企業在其混合 IT 環境中使用超過 100 種不同的應用程序。 可見性對於所有應用程序都至關重要,以確保它們與 SSO 服務集成。 如果用戶發現他們需要重新開始記住幾個不同的密碼,因為某些應用程序被 SSO 實施忽略了,密碼疲勞問題就會重演。

需要互補的身份驗證方法

沒有任何其他身份驗證方法的 SSO 本身會增加信息安全風險。 對於特別敏感的應用程序或數據,利用基於風險的身份驗證解決方案至關重要,該解決方案可以根據上下文分析用戶行為並請求其他類別的證據以在授予身份驗證之前驗證身份(多因素身份驗證)。

SSO 的未來

未來的 SSO 很可能會變得無密碼,這意味著初始登錄使用不同於傳統用戶名-密碼組合的用戶身份驗證類型。 例如,用戶可以提供生物識別標識符來訪問他們需要的所有業務應用程序。 更全面的 SSO 實施將實現對任何 IT 資源的無縫訪問,而不僅僅是應用程序。

編者註: Ronan Mahony 是一位自由撰稿人,主要關注網絡安全主題。 他喜歡將復雜的想法和解決方案分解成引人入勝的博客文章和文章。 他擅長撰寫有關 B2B 技術其他領域的文章,包括機器學習和數據分析。

對此有什麼想法嗎? 在下面的評論中讓我們知道,或者將討論帶到我們的 Twitter 或 Facebook。

編輯推薦:

  • 黑客現在有專門的軟件可以幫助他們侵入 Ring 安全攝像頭
  • 本月你應該玩的五款最佳網絡遊戲
  • 學習管理系統的五個好處
  • 哦,太好了,一些 Android 應用程序正在竊取 Facebook 密碼