0
0
Com a empresa média usando quase 1.000 aplicativos, não é surpresa que o single sign-on (SSO) tenha se tornado um gatekeeper tão crítico. Ele fornece facilidade de acesso e pode eliminar a expansão de nomes de usuário e senhas que assombram os usuários e frustram os administradores.
Embora o SSO seja útil, não é isento de risco inerente. Como ele usa uma arquitetura de um para muitos, se uma identidade for violada, um invasor obtém acesso instantâneo a todos os recursos que o titular da conta em particular está autorizado a usar. Como sabemos, os usuários geralmente selecionam senhas fracas e podem facilmente ser presas a ataques de phishing.
Outro desafio é que nem todos os sistemas podem usar uma solução de logon único, deixando lacunas na segurança. Embora a maioria das tecnologias SSO possa suportar vários aplicativos baseados em nuvem, os aplicativos caseiros e legados exigem abordagens diferentes, como o Microsoft Active Directory. Isso cria silos de identidade e cria uma enorme complexidade.
Enquanto isso, as senhas continuam sendo o elo fraco em qualquer implementação de segurança, incluindo o SSO, porque na verdade não validam a identidade do usuário.
Mitigando os riscos de SSO
A autenticação multifatorial (MFA), que é suportada por muitas soluções de SSO, geralmente é colocada em camadas em cima de nomes de usuário e senhas, mas não há verificação de identidade além de algo que você sabe (nome de solteira da mãe ou tal) e algo que você tem, como seu celular. A combinação de MFA e verificação de identidade preencherá algumas das lacunas no SSO.
Adicionar verificação de identidade funciona bem para organizações que já digitalizam a biometria, carteiras de motorista ou passaportes dos funcionários no processo de contratação, porque já têm uma prova de identidade registrada para comparação. A prova de identidade de todos os funcionários antes de emitir credenciais é um forte primeiro passo para trazer o SSO para o mundo da confiança zero, que requer reautenticação quando os fatores de risco são elevados.
No entanto, para implementar o acesso sem confiança, as organizações devem validar a identidade de um usuário e não apenas exigir um fator de autenticação adicional. Isso porque, se um invasor tiver comprometido a identidade de um usuário, solicitar a reautenticação ou uma segunda forma de autenticação não detectará que a solicitação de acesso está sendo feita por alguém que não é realmente o usuário autorizado. Sem essa compreensão fundamental da identidade, qualquer método de autenticação, incluindo SSO, não pode ser confiável.
A substituição de senhas como o principal método de identificação de um usuário é o primeiro passo fundamental para tornar o SSO mais seguro, mas várias outras técnicas podem se basear nesse esforço para torná-lo ainda mais seguro e fácil de usar. A análise de segurança pode ser usada para detectar anomalias nos padrões de comportamento do usuário. Por exemplo, se um usuário tiver feito algumas tentativas fracassadas de fazer logon ou estiver se conectando a partir de um dispositivo ou local incomum, o sistema pode exigir uma nova forma secundária de autenticação.
Também é importante entender quais ativos digitais não são cobertos pelo SSO. Por exemplo, aplicativos personalizados e legados não se integram facilmente ao SSO. Portanto, uma abordagem que combina a verificação de identidade com a autenticação fornece os níveis de confiança necessários para suportar o SSO e estender o acesso sem senha a ativos que não são cobertos pelo SSO.
Se uma implementação de SSO ainda for baseada em senhas, é extremamente importante estabelecer um processo seguro de redefinição de senha. Por exemplo, usando biometria verificada que usa o que é chamado de detecção de vivacidade para garantir que uma imagem estática do usuário não esteja sendo usada para falsificar o sistema. Esse tipo de recurso pode garantir que o titular da conta autorizado esteja presente ao redefinir uma senha e que a redefinição não esteja sendo realizada por um invasor.
Claramente, a arquitetura um-para-muitos do SSO é uma grande vantagem e uma fraqueza. Ao complementar o SSO com verificação de identidade e MFA avançado, é possível eliminar senhas de forma segura e protegida.
FONTE: DARK READING