Antes de que esto se marque como un duplicado, no estoy haciendo una pregunta sobre desventajas de inicio de sesión único , estoy preguntando si el concepto inicial es defectuoso para empezar sin aplicar la autenticación de dos factores.
Déjame explicarte a lo que me refiero:
1. El propósito de una contraseña es evitar que personas no autorizadas accedan a datos protegidos.
2. No utilizamos la misma contraseña para todas las cuentas porque eso potencialmente expone todas las cuentas cuando una es hackeada.
Ahora entra en Single Sing-On. Ahora millones de personas ponen todos sus huevos (contraseñas) en una canasta. Esto viola el número 2 porque si el proveedor de SSO es hackeado, todas las cuentas están potencialmente expuestas. Simplemente mire el hackeo más reciente (de varios) en LastPass en 2015 , y aún más hack reciente de OneLogin en 2017 , incluso teniendo la capacidad de descifrar datos.
Ahora, con la autenticación de dos factores , utilizando específicamente "algo que tienes" como segundo factor, lo más probable es que evites que seas el objetivo de un pirateo de un proveedor de SSO, a menos que también se roben los tokens. (pero las vulnerabilidades de 2FA son otra discusión).
Entonces, ¿cómo es SSO (sin 2FA) mucho mejor que simplemente usar la misma contraseña (larga) en todo, o tal vez mejor, 3 contraseñas, de modo que tiene 3 posibilidades de hacerlo bien (lo que no debe exceder los límites de prueba de contraseña) ) y usted divide cualquier contraseña comprendida en 1/3 de todas sus cuentas.
NOTA: no recomiendo el uso de la misma contraseña otra vez. Personalmente, tengo una contraseña única para cada uno de mis 100 inicios de sesión con un sistema que me permite recordarlos, pero quiero entretener los contrastes con el propósito de la conversación.
¿Existe realmente una gran diferencia entre usar SSO (sin 2FA) en lugar de usar 1 (o más) contraseña (siguiendo la Qué hacer y no hacer con la contraseña ) además de cambiar el trabajo de protección con contraseña de 100 compañías a solo 1?
Ahora puede argumentar que disminuye sus posibilidades de ser pirateado cambiando la responsabilidad de seguridad de 100 compañías a solo 1, pero luego le preguntaría si sería mejor tener 100 contraseñas únicas almacenadas en 100 compañías diferentes que tener 100 contraseñas en 1 empresa.
Todo esto solo para plantear el problema ...
- ¿Tiene sentido el inicio de sesión único (desde un punto de vista de seguridad) si no utilizamos la autenticación de dos factores?
- ¿Deberíamos aplicar la autenticación de dos factores cuando usamos el inicio de sesión único?
- Sin la autenticación de dos factores, ¿potencialmente estamos dando a las personas una falsa sensación de seguridad?
Por favor, avíseme si hay algo que no esté teniendo en cuenta.