Un SSO basato su password può essere banalmente compromesso?

4

Molti provider SSO cloud offrono ora "SSO basato su password" (ad esempio link ), dove, anche se il SaaS a cui vuoi accedere non supporta SAML o simili, puoi comunque eseguire SSO, perché il servizio SSO analizzerà l'HTML, memorizzerà la tua password e ti registrerà nell'app SaaS di terze parti.

Microsoft sta facendo pubblicità a questo. Ad esempio, se esegui una ricerca su Google di "Gusto SSO", ne vedrai molte altre che la pubblicizzano. (Prendo Gusto, perché non hanno SAML, e puoi vedere da tutti i servizi SSO che affermano di supportarlo che si tratta di un modello generato automaticamente ...).

Ora, per me questa è una grande vulnerabilità: il motivo principale per cui vogliamo SSO è che quando siamo a bordo di qualcuno, lo facciamo in un posto, e quando se ne vanno, abbiamo una sola password da revocare: non dozzine. Altrimenti, sei tenuto a dimenticare che hanno anche la password di randomsaas.com ...

Ma funziona solo se la password non passa attraverso il browser . Se si tratta di un SSO basato su password, e l'app SSO sta semplicemente autotyping il proprio login l'accesso passa attraverso il browser, e quindi possono annusarlo e memorizzarlo. Pertanto, anche se si revoca l'SSO dell'utente, possono ancora aver memorizzato la password.

C'è qualche soluzione per questo?

    
posta SRobertJames 17.11.2016 - 08:15
fonte

1 risposta

3

Tecnicamente il Single Sign-On basato su password di Azure AD (dal tuo link ) non è una soluzione SSO ma una di gestione delle password. L'applicazione esterna ha le proprie credenziali, inclusa la password, e un plug-in installato nel browser tipo in un modulo HTML per conto dell'utente, esattamente come fa Lastpass.

Ciò significa che tali credenziali devono essere gestite singolarmente: create per un nuovo utente e revocate se l'utente lascia. In caso contrario, le violazioni della sicurezza saranno aperte e la pagina collegata sarà chiara su quel punto anche quando le credenziali sono gestite da un amministratore (sottolinea il mio):

The credentials are obfuscated from the end user during the automated sign in process; however they are technically discoverable by the user using web-debugging tools, and users and administrators should follow the same security policies as if the credentials were presented directly by the user.

Ciò significa che dovresti avere credenziali diverse per ciascun utente e revocarle individualmente se l'utente lascia.

Solo in vere soluzioni SSO come SAML o CAS in cui esiste un solo account condiviso da più applicazioni, è necessario revocare un'unica password.

    
risposta data 17.11.2016 - 11:35
fonte

Leggi altre domande sui tag