Prima che questo venga contrassegnato come duplicato, non sto facendo una domanda su svantaggi del Single Sign-On , sto chiedendo se il concetto iniziale è difettoso per iniziare senza applicare l'autenticazione a due fattori.
Lascia che ti spieghi cosa intendo:
1. Lo scopo di una password è impedire che persone non autorizzate accedano a dati protetti.
2. Non usiamo la stessa password per ogni account perché potenzialmente espone tutti gli account quando ne viene violato uno.
Ora entra in Single Sing-On. Ora milioni di persone mettono tutte le loro uova (password) in un paniere. Ciò viola il n. 2 perché se il provider SSO viene violato, tutti gli account sono potenzialmente esposti. Dai un'occhiata al più recente (di vari) hack su LastPass nel 2015 , e ancora di più recente hack di OneLogin nel 2017 , anche con la possibilità di decodificare i dati.
Ora con autenticazione a due fattori , in particolare usando "qualcosa che hai" come secondo fattore, molto probabilmente ti impedisci di essere l'obiettivo di un hacker del provider SSO, a meno che anche i token non siano stati rubati (ma le vulnerabilità 2FA sono un'intera discussione.)
Quindi, in che modo SSO (senza 2FA) è molto meglio che usare la stessa password (lunga) dappertutto, o forse meglio 3, in modo da avere 3 possibilità di farlo bene (che non dovrebbe superare la password? ) e hai diviso qualsiasi password compresa in 1/3 di tutti i tuoi account.
NOTA: non approvo l'utilizzo della stessa password di nuovo. Personalmente ho una password unica per ognuno dei miei 100 o più login con un sistema che mi permette di ricordarli, ma voglio intrattenere i contrasti a fini di conversazione.
C'è davvero un'enorme differenza tra l'uso di SSO (senza 2FA) rispetto all'uso di 1 (o più) password (seguendo il Password Cosa fare e cosa non fare ) oltre a spostare il lavoro di protezione della password da 100 aziende a solo 1?
Ora potresti obiettare che diminuisci le possibilità di essere hackerato spostando la responsabilità della sicurezza da 100 aziende a solo 1, ma poi ti chiederei se avresti fatto meglio ad avere 100 password uniche memorizzate in 100 società diverse da quelle 100 password in 1 azienda.
Tutto ciò solo per sollevare il problema ...
- Il Single Sign-On ha senso (dal punto di vista della sicurezza) se non utilizziamo l'autenticazione a due fattori?
- Dovremmo applicare l'autenticazione a due fattori quando utilizzi il Single Sign-On?
- Senza l'autenticazione a due fattori stiamo potenzialmente dando alle persone un falso senso di sicurezza?
Per favore fatemi sapere se c'è qualcosa che non sto prendendo in considerazione.