FEIT OF FICTIE: SSO is hetzelfde als een wachtwoordmanager.

Afbeelding van mythe

 

Bij Okta hechten we veel belang aan de nieuwste ideeën en praktijken rondom authenticatie en security. Daarvoor moeten we wel wat mythes ontkrachten. Dit is de eerste blog in een serie posts waarin algemene misvattingen en mythes rondom Single Sign-On (SSO) aan de orde worden gesteld. Hieronder ziet u onze volledige lijst van de mythes rondom SSO die we hebben gezien (en ontkracht!).

SSO-oplossingen worden vaak verward met wachtwoordmanagers omdat beide gebruikmaken van één login om voor meerdere applicaties toegang te krijgen tot informatie.

Als u met een computer werkt, wisselt u waarschijnlijk geregeld tussen verschillende applicaties. Het hoeft geen betoog dat het onthouden van verschillende wachtwoorden en die telkens weer opnieuw te moeten invoeren bijzonder vervelend is. Daarom zijn wachtwoordmanagers zo populair geworden.

Wachtwoordmanagers zijn een soort kluizen voor wachtwoorden, waar uw inloggegevens op één gezamenlijke plek zijn opgeslagen. In plaats van te hannesen met al die verschillende gebruikersnamen en wachtwoorden hoeven gebruikers alleen maar het hoofdwachtwoord te onthouden om de wachtwoordmanager te ontgrendelen. De wachtwoordmanager voert dan automatisch de opgeslagen inloggegevens voor geautoriseerde websites en apps in. In theorie moedigt dat het gebruik van complexere wachtwoorden aan. Omdat gebruikers maar één login hoeven te onthouden, zullen ze niet zo gauw hetzelfde wachtwoord voor verschillende apps gebruiken. Als nu een van de wachtwoorden gestolen wordt, lopen niet alle systemen gevaar.

Maar hier komt het probleem...

Bij wachtwoordmanagers ligt de focus op beveiliging van het wachtwoord. Zelfs als wachtwoordmanagers mensen aanmoedigen wachtwoorden te gebruiken die moeilijker te raden zijn, zijn de wachtwoorden zelf nog altijd van zichzelf kwetsbaar voor phishing- en brute-force aanvallen. Wachtwoorden zijn nog steeds een voorname bron van beveiligingslekken voor organisaties: 81% van alle beveiligingslekken is het gevolg van diefstal van inloggegevens. Sommige van de meest opzienbarende hacks van de laatste tijd kwamen voort uit phishing van inloggegevens.

 

Afbeelding 2

Wachtwoordmanagers stellen ook IT-beheerders voor problemen. Elk wachtwoord is een potentieel toegangspunt voor een hacker, en door alle wachtwoorden op één plek onder te brengen worden de aanvalsmogelijkheden op uw organisatie bepaald niet minder. Wanneer gebruikers de organisatie verlaten, laten ze hun wachtwoorden achter en wachtwoordmanagers kunnen niet eenvoudigweg de toegangsrechten van deze uiteenlopende inloggegevens verwijderen.

Hoewel wachtwoordmanagers het gebruikers makkelijker maakt hun inloggegevens te beheren, staat het wachtwoord zelf nog steeds centraal. Ze kunnen niet regelen wie toegang tot die inloggegevens of uw systeem heeft. SSO lost beide problemen op met een handige methode op basis van robuuste authenticatie.

SSO heeft te maken met vertrouwen, niet met wachtwoorden

Moderne SSO-oplossingen helpen gebruikers niet alleen bij het beheren van wachtwoorden (hoewel SSO dat ook doet), ze bieden vooral een nieuwe benadering van identity and access management (IAM). De focus wordt verlegd van het beheren van wachtwoorden naar het beheren van toegang op basis van vertrouwen. In plaats van te vertrouwen op een kluis vol wachtwoorden om data veilig te houden, maakt SSO gebruik van bestaande vertrouwensrelaties om één domein te maken waar authenticatie plaatsvindt.

Zo werkt het

 

Afbeelding 3

Single sign-on is gebaseerd op federatieve identity, ofwel het delen van identiteitskenmerken tussen systemen die vertrouwd worden, maar verder wel autonoom zijn. Als u dus door één systeem vertrouwd wordt, hebt u ook toegang tot alle andere systemen die een vertrouwensrelatie met dat eerste systeem hebben. Daardoor zijn er geen verschillende wachtwoorden voor de verschillende systemen nodig. Moderne SSO-oplossingen zijn daarop gebaseerd en maken gebruik van federation-protocollen zoals SAML 2.0 en OpenID Connect. Voor gebruikers betekent dit dat ze maar één set inloggegevens nodig hebben om zich aan te melden bij de SSO-oplossing en daarmee toegang hebben tot alle vertrouwde, onderling verbonden apps en systemen.

Bovendien zijn deze onderling verbonden systemen niet beperkt tot uitsluitend cloudapps. Anders dan bij wachtwoordmanagers kunt u SSO integreren met VPN's, wifi, firewalls, native mobiele apps, on-prem resources en zelfs met andere identity providers – in principe met elke tool die federation ondersteunt.

SSO en context van logins

SSO maakt niet alleen het gebruik van meerdere wachtwoorden overbodig, de oplossing biedt IT-teams ook een duidelijk beeld van de context van een loginverzoek. Het gaat om informatie zoals wie de gebruiker is, waarvandaan de gebruiker inlogt, met welk IP-adres dat gebeurt, welk device of welke browser wordt gebruikt en wanneer en waar de gebruiker de laatste keer heeft ingelogd.

Op basis van de context van de login kan IT uiterst precieze beleidsregels definiëren om tot de juiste toegangsrechten te komen. SSO wordt bijvoorbeeld vaak gecombineerd met multi-factor authenticatie (MFA) om verdachte inlogpogingen, zoals een onbekend device of onbekende locatie, te markeren en te vragen naar een andere authenticatiefactor. Dus zelfs als iemand een gestolen wachtwoord invoert, krijgt die persoon geen toegang tot de data zonder die tweede factor.

Beheerders kunnen gebruikerssessies ook beheren door bepaalde policies in te stellen. Dat kan betekenen dat gebruikers zichzelf om de paar uur moeten verifiëren, dat alleen bepaalde teams toegang tot bepaalde systemen hebben of dat gebruikers buiten het IP-bereik van het kantoor geen toegang hebben tot bepaalde apps. U kunt bijvoorbeeld van alle werknemers buiten kantoor vragen zich bij elke login te verifiëren met MFA, terwijl degenen op kantoor dat maar een keer per dag hoeven te doen. Dat betekent ook dat beheerders een gebruiker de toegang kunnen ontzeggen als die gebruiker een andere functie binnen de organisatie krijgt of de organisatie verlaat.

SSO is niet hetzelfde als een wachtwoordmanager

Wachtwoorden zijn vatbaar voor alle mogelijke vormen van bedreigingen en het is niet voldoende om ze op één locatie onder te brengen om uw gebruikers te beschermen. SSO is de ideale hybride vorm: het gemak van één enkele login met security op enterpriseniveau.

Wilt u meer weten over SSO? Luister naar de webinar Things You Don’t Know About Single Sign-On, bezoek onze SSO-pagina en bekijk onze volledige serie over het ontkrachten van mythes:

Feit of fictie: SSO creëert een Single Point of Failure en is daarom minder veilig
Feit of fictie: SSO vertraagt IT
Feit of fictie: SSO is moeilijk te implementeren