¿Cómo el inicio de sesión único limita el riesgo de phishing?

3

Estaba leyendo este artículo sobre los beneficios de SSO y esta frase intriga yo:

  

Puede reducir el phishing: el phishing, un proceso fraudulento en el que se engaña a las víctimas para que revelen información confidencial del usuario, aumentando la seguridad para usted y sus usuarios.

¿Cómo es esto posible? Quiero decir que si la víctima está usando SSO, el atacante obtendrá acceso a todos los servicios autorizados en lugar de a la única "cuenta de phishing", lo que aumentaría el impacto del phishing.

    
pregunta storm 13.06.2016 - 18:42
fuente

3 respuestas

1

Estoy de acuerdo con las otras dos respuestas proporcionadas, pero hay un par de otros beneficios, cuando el SSO se implementa correctamente.

  • Los usuarios ingresan su contraseña con menos frecuencia
  • Los usuarios no tienen varias contraseñas para realizar un seguimiento de
  • A los usuarios se les presenta una sola página de inicio de sesión, y saben cómo se ve

Cuando los usuarios no tienen varias páginas de inicio de sesión diferentes a las que pueden acceder, son más capaces de saber cuándo algo está mal.

    
respondido por el h4ckNinja 14.06.2016 - 06:52
fuente
1

Las formas más nuevas de SSO, como OAuth2, no hacen nada más que proporcionar un token seguro para que el cliente lo utilice para verificar si un usuario está realmente autorizado con éxito. No filtra su nombre de usuario, contraseña, o cualquier otra cosa. Es simplemente una afirmación de que, según el proveedor de identidad, es un usuario real por cualquier medio que haya probado, y que tienen algún identificador único específico para ese proveedor.

Podrían haber utilizado una tarjeta inteligente, huellas dactilares u otros datos biométricos, etc., y demostrar que quienes dicen que son, pero nada más. Los ataques de phishing que utilizan estas formas de SSO no tienen sentido, ya que no obtienen las credenciales que utilizó el usuario, ni información sobre ninguna otra cuenta que tengan. Los tokens generados solo son válidos para una aplicación específica, por lo que ni siquiera pueden usar ese token para acceder a otros servicios a los que el usuario podría tener acceso.

    
respondido por el phyrfox 14.06.2016 - 06:26
fuente
0

La idea detrás de SSO es que evita que el usuario tenga que ingresar las credenciales con mayor frecuencia, lo que reduce la posible superficie de ataque. Observe que dice can reducir phishing. También ayuda a eliminar otro problema bastante común: las personas que escriben contraseñas y las dejan a la vista (si solo tienen una para recordar, es menos probable que las escriban).

Hay una serie de otros beneficios del uso de SSO, desde la prevención del reciclaje de contraseñas hasta la reducción de las ineficiencias (el tiempo perdido en los dos usuarios que tienen que ingresar credenciales por separado y el tiempo de soporte cuando olvidan contraseñas adicionales).

    
respondido por el Caleo 13.06.2016 - 19:30
fuente

Lea otras preguntas en las etiquetas