¿Cuáles son las desventajas de la autenticación de inicio de sesión único?

13

Estábamos discutiendo para implementar solo en nuestra aplicación web, justo después de analizar, llegamos a saber que las siguientes eran las ventajas del inicio de sesión único en la autenticación. En las palabras de Shwetha en el blog de Pruebas del Sistema Cymfony :

  

Adventages

     
  • Los usuarios seleccionan contraseñas más seguras, ya que se evita la necesidad de usar múltiples contraseñas y cambiar la sincronización.
  •   
  • Los umbrales de tiempo de espera e intento de inactividad se aplican uniformemente más cerca de los puntos de entrada del usuario.
  •   
  • Mejora la efectividad / puntualidad de deshabilitar todas las cuentas de red / computadora para los usuarios finalizados.
  •   
  • Mejora la capacidad de un administrador para administrar usuarios y configuraciones de usuario a todos los sistemas asociados.
  •   
  • Reduce la sobrecarga administrativa al restablecer las contraseñas olvidadas en múltiples plataformas y aplicaciones.
  •   
  • Proporciona a los usuarios la comodidad de tener que recordar solo un único conjunto de credenciales.
  •   
  • Esto también mejora la seguridad cuando los usuarios encuentran   Es más fácil recordar sus credenciales y no tener que escribirlas.   hacia abajo, lo que permite un proceso de inicio de sesión de usuario más eficiente.
  •   
  • Reduce el tiempo que tardan los usuarios en iniciar sesión en múltiples aplicaciones y plataformas.
  •   

¿Qué desventajas existen al implementar la tecnología de inicio de sesión único?

    
pregunta BlueBerry - Vignesh4303 24.09.2012 - 07:41
fuente

4 respuestas

9
  • Punto único de falla

  • Objetivo único de alto valor (atrae a más atacantes)

  • La divulgación de información necesaria entre el sitio de confianza y la autoridad de SSO

  • Ataque de canal lateral contra el paso de autenticación (en teoría; depende de la implementación)

  • Falta de control sobre su lista de usuarios

  • Otra interfaz más para mantener (complejidad agregada)

  • Es posible que nunca sepa qué tan seguro está su sistema o si existe una infracción

  • Coste añadido

Estos están todos fuera de mi cabeza. Me imagino que alguien ha compilado una lista canónica en algún lugar.

    
respondido por el tylerl 24.09.2012 - 07:57
fuente
5

Esto comenzó como un comentario a la respuesta de Tyler pero se está quedando sin espacio.

Sí, si lo implementas mal, habrá errores que pueden ser explotados, pero solo hay 2 puntos de pellizco donde SSO es diferente de los sistemas separados en este sentido, cuando se realiza la transición del sitio de SSO al sitio de la aplicación. y al finalizar una sesión de SSO (y, por tanto, sesiones en las aplicaciones de confianza).

  

Punto único de falla

Solo si está mal implementado.

  

La divulgación de información necesaria entre el sitio de confianza y la autoridad de SSO

¿Cómo está exponiendo más información al sitio de confianza? De hecho, hay muchas menos oportunidades de explotar la aplicación cuando no maneja la autenticación en sí misma.

  

Falta de control sobre su lista de usuarios

¿Cómo? Si controlas tanto tus aplicaciones como el SSO, ¿por qué tienes menos control?

  

Otra interfaz para mantener

La definición de interfaces y el aislamiento adecuado entre los componentes del sistema es una buena práctica. SSO simplemente te obliga a aplicar esta práctica. Creo que eso es un beneficio. De hecho, mantener una implementación única del código para la autenticación en lugar de múltiples debe reducir la complejidad y el costo.

  

Es posible que nunca sepa qué tan seguro está su sistema o si existe una infracción

¿En qué se diferencia esto de los sistemas independientes?

  

Coste añadido

Según el punto con respecto a la interfaz, no debe agregar complejidad de código ni requiere hardware adicional. El único costo adicional que se me ocurre es la necesidad de un certificado SSL adicional, que no es mucho.

Si eres handing your security mechanisms to an opaque 3rd party , la mayoría de los puntos son válidos, pero no si estás implementando el sistema por tu cuenta.

Hay una leve sobrecarga de rendimiento con redirecciones para los usuarios que solo acceden a una sola aplicación, pero no son enormes.

    
respondido por el symcbean 25.09.2012 - 17:01
fuente
2

No dice si el alcance de SSO es intranet o internet . Si incluye internet , me encantan los sitios compatibles con SAML 2.0, sin embargo, existen algunas desventajas de los sitios SAML2.0 y SaaS:

  1. Muchos proveedores de SaaS (proveedores de servicios) no admiten todas las aserciones de SAML 2.0, por ejemplo. Afirmaciones de carpinteros / personas que se mudan / abandonan para que no obtenga todos los beneficios de SAML2
  2. Aceptar el asilo de SAML2 con un proveedor de SaaS puede ser un trabajo muy difícil para empezar.
  3. si el sitio SaaS requiere un SSO federado para, digamos usuarios del personal, y luego el acceso continuo cuando el personal se retira, entonces se ingresa en una horrible autenticación de modo dual que debilita la solución general. Tuve esto con un sistema de recibos de sueldo donde el personal debe seguir teniendo acceso una vez que han dejado la empresa. es decir, donde el IdP (proveedor de identidad) es el directorio interno del personal.
  4. Los productos compatibles con SAML2 (para su lado del firewall) son costosos y están dominados por una compañía (por lo que es difícil negociar el precio)

aparte de eso: si puede hacer que todos los sitios SaaS funcionen para su organización con SAML, vinculados a su propio almacén de identidad, habrá eliminado un gran riesgo, especialmente porque los usuarios eligen la misma contraseña para todos los inicios de sesión corporativos. / p>

Lo peor que puedes hacer (mencionado anteriormente) es cocinar tu propio esquema de SSO.

    
respondido por el Callum Wilson 10.12.2012 - 18:27
fuente
0

Como SSO da acceso a múltiples aplicaciones, por seguridad, se debe hacer una copia de seguridad con una contraseña única enviada a través de SMS o RSA Secure ID token.

    
respondido por el Rahul Khedekar 25.03.2016 - 06:57
fuente

Lea otras preguntas en las etiquetas