Что такое SSO и действительно ли это безопасно?

Ключевые выводы

SSO позволяет осуществлять единый вход для всех связанных служб, заменяя учетные данные токенами.
Многие крупные технологические компании используют систему единого входа (SSO) для обеспечения бесперебойного доступа к своим услугам.
Единый вход может представлять угрозу безопасности, поскольку создает единую точку отказа для всех связанных учетных записей.

Если вы являетесь клиентом Google, Microsoft или Apple, вы привыкли входить в систему один раз, чтобы получить доступ к каждому приложению этого провайдера. Например, если вы используете Gmail, вам не нужно входить в систему отдельно для Google Drive. Единый вход (обычно пишется как SSO) призван облегчить жизнь, но как он работает?

Что такое единый вход?

Со стороны пользователя единый вход довольно прост. Вы входите в одну службу, и все связанные службы также разблокируются для вас. Так что введите свои учетные данные в свой ноутбук Windows, и все службы Microsoft будут открыты для вас. Некоторые компании, такие как Google или Facebook, даже позволяют вам использовать ваши учетные данные для входа в другие службы, которые не связаны напрямую.

Однако обратите внимание, что не следует путать SSO с менеджерами паролей. SSO заменяет ваши учетные данные — более или менее — тогда как менеджеры паролей сохраняют ваши учетные данные на месте, но автоматически выполняют вход.

Как работает система единого входа?

Программы для Windows, мобильные приложения, игры - ВСЁ БЕСПЛАТНО, в нашем закрытом телеграмм канале - Подписывайтесь:)

Обычно, каждый используемый вами сервис, требующий входа в систему, будет иметь отдельный набор учетных данных, обычно имя пользователя или адрес электронной почты и пароль. При использовании SSO ваш «основной» сервис (назовем его сайтом A) заменит набор учетных данных другого сервиса (сайта B) на то, что называется токеном, небольшой набор цифровой информации.

В следующий раз, когда вы войдете на сайт B, вместо ввода имени пользователя и пароля, вместо вас войдет токен сайта A. Все это происходит за кулисами и «бесшовно»; как пользователь, вы видите только, что вам осталось выполнить на один шаг меньше. Такое совместное использование токенов иногда называют федеративной идентификацией.

Под капотом SSO работает несколькими разными способами. Он предлагается как услуга другими компаниями, например, Auth0 от Okta, поэтому вы можете быстро настроить его, не разбираясь в технологиях. В качестве альтернативы, если кто-то в организации достаточно подкован, SSO можно настроить с помощью протоколов, таких как Kerberos или SAML (который поддерживает Auth0 и подобные ему сервисы).

Кто использует систему единого входа?

В некотором смысле, все используют SSO в той или иной форме, включая вас. Все крупные технологические компании используют его, чтобы гарантировать клиентам бесперебойный доступ ко всем их различным сервисам без необходимости постоянно вводить пароли. Google, Microsoft, Atlassian, список можно продолжать. Если вы работаете в крупной корпорации, скорее всего, вы тоже используете SSO, так как многие компании любят использовать SSO во внутренних сетях, чтобы гарантировать, что сотрудники могут беспрепятственно переключаться между приложениями.

Ханна Страйкер / How-To Geek

Есть ли недостатки у SSO?

На первый взгляд, недостатков в использовании SSO не так уж много. В конце концов, кому не нравится плавное переключение между приложениями? Однако при использовании SSO вы сводите свою безопасность к единой точке отказа: там, где раньше злоумышленнику приходилось взламывать множество разных паролей, теперь есть только один.

Хуже того, как только злоумышленник получит контроль над этой учетной записью и связанными с ней токенами, вы терять контроль над всеми ними. В конце концов, токен — единственный способ получить доступ к этим аккаунтам. Нет возможности сбросить настройки аккаунтов, как если бы ваш менеджер паролей был взломан. Вот почему вам никогда не следует обращаться в Google и другие компании, чтобы они входили за вас.

Безопасна ли система единого входа?

Хотя SSO, без сомнения, чрезвычайно удобен, мы обычно рекомендуем не использовать его, если это не неизбежно. Собрать все службы Google или Microsoft под одной крышей — это идеальный вариант, но мы не будем токенизировать всю нашу сеть безопасности ради удобства. Если кто-то взломает ваш пароль Google, все ваши связанные учетные записи будут уязвимы.

Вместо этого мы рекомендуем вам использовать один из лучших менеджеров паролей. Они дадут вам тот же бесперебойный опыт, что и SSO, и для большего количества сайтов, но предложат гораздо большую безопасность.