對於員工通常需要創建、管理和記住許多不同帳戶的密碼,密碼疲勞是一個常見問題。 解決此問題的常見解決方案是讓員工在多個帳戶中重複使用密碼。 但是,雖然這可以減輕員工的負擔並提高效率,但這樣做是以安全性的代價。
單一登入 (SSO) 是一項服務,旨在減輕密碼疲勞而不影響安全性。 員工在對環境進行驗證時,會顯示單一登入畫面,以驗證他們的身份。 然後,這種身份驗證會被傳送到網路內的其他系統,使員工無需記住密碼和登入即可使用它們。
傳統上,大多數應用程式和系統單獨管理身份驗證和存取管理。當使用者希望登入電腦或應用程式時,他們會提供一組登入憑證,並將其與保存在文件中的一組登入憑證進行比較。如果認證被接受,則會授予使用者對所需資源的存取權。
SSO 保留了此過程,但將其應用於對整個網路進行身份驗證。當使用者首次登入網路時,他們的身份驗證資訊將傳輸到身份驗證伺服器,該伺服器驗證他們的身份和分配給他們的存取控制。此後,當用戶希望登入新的系統或應用程式時,他們的存取請求將被轉發到身份驗證伺服器。根據其內建的存取控制策略,伺服器告訴系統或應用程式允許或拒絕存取。
由於應用程式伺服器已經驗證了用戶的身份並在整個會話期間對其進行跟踪,因此他們不再需要單獨對他們使用的每個應用程式或系統進行身份驗證。這樣就不需要這些資源實作自己的驗證系統,或者使用者為每個資源建立和回收唯一的密碼。
SSO 將網路存取管理集中到單一驗證伺服器。通過這樣做,它為組織和其員工提供許多不同的好處,例如:
實際的 SSO 通訊協定是安全的,並依賴驗證伺服器來管理、核准或拒絕存取要求。 只要此伺服器受到良好的保護,且組織的存取控制原則設計良好,那麼惡意使用者或具有對入侵帳戶存取權限的攻擊者將會受到指派給該帳戶的權限的存取限制。
SSO 的主要好處和風險是它允許用戶在驗證一次後訪問所有內容。 這意味著擁有權控制合法帳戶的攻擊者可以存取該帳戶允許存取的任何內容,而無需輸入任何其他密碼。
但是,使用 SSO 意味著組織可以更輕鬆有效地部署 MFA 等解決方案,以減少這種情況的可能性。 此外,雖然使用者可能不需要多次驗證才能存取各種系統,但組織仍可執行行為分析來識別可能指出帳戶遭到入侵的異常或可疑活動。 如果偵測到此類活動,安全團隊可以採取行動以鎖定遭入侵的帳戶。