Sono interessato all'intersezione dell'enumerazione di account e single sign-on. Spesso, gli utenti SSO-only e non SSO si affiancano l'uno con l'altro in un'applicazione e, in termini di miglioramento dell'usabilità, gli utenti SSO dovranno essere reindirizzati al proprio portale di accesso specifico.
Un esempio che ho trovato è il reindirizzamento di Office365 in base al nome di dominio del tuo indirizzo email. Sebbene nessun nome utente particolare sia trapelato, un utente malintenzionato è ora consapevole che una determinata azienda utilizza Office365 e può restringere le proprie ricerche.
Ad esempio:
- Vai al link
- Inserisci uno dei seguenti indirizzi email-
Attesi: indirizzo email di Microsoft ed Exxon reindirizzare ai loro portali di accesso, l'indirizzo email di Walmart rimane con accesso predefinito.
Le mie domande:
- Come si può evitare questa perdita di informazioni?
- Questo reindirizzamento è a livello di dominio. Se hai utenti SSO e SSO con lo stesso dominio (ad esempio [email protected] e [email protected] hanno pagine di accesso diverse), come puoi bilanciare l'usabilità con la sicurezza contro l'enumerazione degli account?