Защищенная однократная регистрация
Защищенная однократная регистрация
Проблемы безопасности при регистрации многократно возрастают, когда пользователю необходим доступ ко многим приложениям. Практика показывает, что если пользователю нужно множество паролей, он просто принимает решение сделать все свои пароли одинаковыми. Это ведет к эффекту "самого слабого звена": при взломе слабейшей из систем (например, при помощи программы-сниффера) злоумышленник получает доступ ко всем системам одновременно. Применение одного и того же пароля для доступа ко всем приложениям снижает общую безопасность, а запоминание множества паролей и трата времени на доступ ко многим системам существенно затрудняют работу пользователя и вынуждают его искать пути обхода этих процедур, что также небезопасно.
Преимущества системы SSO заметны пользователям с первого взгляда: отпадает необходимость запоминать множество паролей и тратить время на аутентификацию при входе в каждую конкретную систему ( см. рис. 1.3). Этим, однако, достоинства системы SSO не ограничиваются. Во-первых, правильно внедренная система SSO оказывает положительное влияние на безопасность: пользователи регистрируются на своих локальных компьютерах, пароли реже "путешествуют" по сети, и выше вероятность, что единственный пароль, выбранный пользователем, будет "хорошим". Во-вторых, однократная регистрация не просто удобна для пользователей, но также снижает нагрузку на централизованную службу поддержки информации о регистрации и обслуживания паролей (плановая или внеплановая смена паролей, работа с забытыми паролями и пр.), которая уязвима к атакам.
Рис. 1.3. Защищенная однократная регистрация
Естественно, определенная доля риска имеется и при внедрении системы SSO (одна процедура обеспечивает доступ ко всем системам), поскольку создается единая точка отказа в защите сети. Однако системы SSO, как правило, хорошо защищены от несанкционированного доступа; к тому же дополнительную защиту создают средства физической аутентификации [42].