La idea con un buen inicio de sesión único es que hay menos lugares para que sus credenciales se vean comprometidas. Hay tres razones para usar contraseñas diferentes, primero, porque cada lugar único que almacena su contraseña (con suerte, hash) es otro lugar en el que podría verse comprometido. Segundo, porque si su contraseña está comprometida, cualquier otra cuenta que la use deberá actualizarse y eso es difícil de hacer. Tercero, porque si su contraseña está comprometida, podrían acceder a varias cuentas si fueran compartidas.
SSO es una gran ventaja para los dos primeros. Un buen sistema de SSO solo debe almacenar las credenciales de su cuenta en una ubicación (lo cual se espera que sea mucho más fortificado). Toda la autenticación se realiza contra esta tienda. Si su cuenta está comprometida, en lugar de tener muchos lugares para actualizar, solo se debe cambiar una contraseña y bloquear una cuenta.
No aborda particularmente la tercera preocupación, pero hace que el compromiso sea menos probable en primer lugar. Además, dependiendo de la cuenta, las diferentes contraseñas no necesariamente representan una barrera. Hay muchos ejemplos reportados de atacantes que usan una cuenta comprometida para encadenarse de una cuenta a otra hasta que puedan acceder a la cuenta real que desean. (Por ejemplo, si pueden acceder a su cuenta de correo electrónico, entonces pueden usar restablecimientos de contraseñas). Un buen sistema para reportar compromisos y permitir el cierre de la cuenta puede ser una ayuda decente para mitigar el riesgo, sin embargo, cuando la actividad sospechosa se detecta.
El argumento de que las credenciales completamente únicas pueden ser más seguras que una buena configuración de SSO es posiblemente válido, pero en el mundo real, la mayoría de las personas reutilizan las credenciales. El SSO mitiga gran parte del riesgo de este comportamiento y al mismo tiempo permite la conveniencia que las personas desean.