¿Se acabó realmente la discusión sobre el SSO?

8

Recientemente me derribaron en ServerFault por sugerir que SSO puede ser menos seguro que tener credenciales diferentes para cada servicio. ¿Cuáles son los argumentos en contra de SSO?

    
pregunta Jack Douglas 06.06.2011 - 16:26
fuente

2 respuestas

6

Dos vistas:

Corporate:

Ya sea que tenga control sobre todas las máquinas, o al menos el servidor central de autenticación, estará mejor con SSO. Un lugar para contratar empleados, un lugar para despedirlos, un conjunto de credenciales de las que tienen que preocuparse. Los compromisos individuales del servidor no deben perder credenciales. Es menos probable que los usuarios se molesten, olviden las contraseñas y usen patrones horribles de contraseñas, especialmente cuando las 7 computadoras diferentes a las que tienen acceso comienzan a usar los períodos de cambio de contraseña en puntos escalonados.

En un entorno de empresa, desea un punto de autenticación.

The Wild Internet

Spoofing / phishing es una preocupación mayor. La privacidad se convierte en una preocupación. Un tercero sabe donde quiera que inicie sesión. El compromiso de ese tercero compromete todas sus cuentas. Los beneficios de una identidad, un inicio de sesión deben compararse con todos esos. Cuando te adentran en una página de inicio de sesión falsa desde tu foro web y se enlaza a tu correo electrónico y, por lo tanto, a tu banco, las cosas pueden ponerse feas.

Para los chicos de ServerFault, no hay duda de que quieren eso en su red. Para el mundo en general, hay un poco de intercambio a tener en cuenta.

Editar para escribir comentarios

  • El envío de sus credenciales de inicio de sesión a un servicio de terceros es la antítesis del inicio de sesión único.
  • En algunos casos, tiene sentido proporcionar a los usuarios varias cuentas. Muchos administradores de sistemas inteligentes tienen sus cuentas de operaciones normales y sus cuentas de privilegios elevados. Al mismo tiempo, esto sigue siendo un sistema SSO. Es frecuente que un servidor central de autenticación maneje las múltiples cuentas.
  • En lo que respecta al intercambio de contraseñas, considero que es un mal argumento en contra de SSO. En cualquier caso en el que el acceso a algo deba compartirse, debe hacerse con diferentes credenciales. Si bien tenemos que aceptar que hay algunos sistemas que necesitan compartir y no implementan la capacidad de asignar derechos, esto debe solucionarse modificando el sistema siempre que sea posible.
respondido por el Jeff Ferland 06.06.2011 - 17:40
fuente
2

Imho la mayor preocupación con SSO es el gran impacto de una violación de la contraseña, simplemente tomando en cuenta todos los accesos de servicio posibles.

Otoh la historia más joven ha demostrado que la reutilización de la contraseña es más la regla que la excepción. Y el SSO también puede usarse para imponer, por ejemplo políticas de contraseña más estrictas (use una contraseña, pero úsela de manera segura) o incluso enróllelas con una autenticación más fuerte.

Así que supongo que todo depende de la implementación ...

    
respondido por el kindofwhat 07.06.2011 - 00:29
fuente

Lea otras preguntas en las etiquetas